ביום שישי, צוות המחקר של otto-js פרסם מאמר על האופן שבו משתמשים משתמשים בתכונות בדיקת האיות המתקדמות של Google Chrome או Microsoft Edge, עשוי לשדר שלא מדעת סיסמאות ומידע אישי מזהה (PII) לשרתי ענן של צד שלישי. לא רק שפגיעות זו מסכנת את המידע הפרטי של משתמש הקצה הממוצע, אלא שהיא גם עלולה להשאיר את האישורים הניהוליים של הארגון ומידע אחר הקשור לתשתית בלתי מאובטח בפני גורמים חיצוניים.
הפגיעות התגלתה על ידי מייסד שותף של otto-js וה-CTO Josh Summit בזמן בדיקת יכולות זיהוי התנהגות הסקריפט של החברה. במהלך הבדיקה, Samit וצוות otto-js גילו שהשילוב הנכון של תכונות בבודק האיות המשופר של Chrome או MS Editor ב-Edge חשפו בטעות נתוני שדות המכילים PII ומידע רגיש אחר כאשר נשלחו חזרה לשרתים Microsoft וגוגל. שתי התכונות דורשות פעולות מפורשות מהמשתמשים כדי לאפשר אותן, ומרגע שהן מופעלות, משתמשים לרוב לא מודעים לכך שהנתונים שלהם משותפים עם צדדים שלישיים.
בנוסף לנתוני השטח, צוות otto-js גילה גם שניתן לחשוף את הסיסמאות של המשתמשים דרך אפשרות מציג הסיסמאות. אפשרות זו, שתסייע למשתמשים להימנע מהזנת סיסמאות שגויה, חושפת את הסיסמה בשוגג לשרתים של צד שלישי באמצעות תכונות מתקדמות של בדיקת איות.
משתמשים בודדים אינם הצד היחיד בסיכון. הפגיעות עלולה לגרום לפגיעה באישורי החברה על ידי צדדים שלישיים לא מורשים. צוות otto-js סיפק את הדוגמאות הבאות המראות כיצד משתמשים המחוברים לשירותי ענן וחשבונות תשתית יכולים להעביר ללא ידיעת את האישורים שלהם לשרתים Microsoft או גוגל.
התמונה הראשונה (למעלה) מציגה דוגמה לכניסה לחשבון Alibaba Cloud. כאשר אתה נכנס דרך Chrome, תכונת בדיקת האיות המתקדמת שולחת מידע שאילתה לשרתי Google ללא הרשאת מנהל מערכת. כפי שניתן לראות בצילום המסך (למטה), מידע זה כולל את הסיסמה בפועל המוזנת כדי להיכנס לענן של החברה. גישה למידע מסוג זה יכולה להוביל לכל דבר, החל מגניבה של נתונים ארגוניים ולקוחות ועד לפשרה מוחלטת של תשתית קריטית.
צוות otto-js ביצע בדיקות וניתוח בנצ'מרקים המיועדים למדיה חברתית, כלים משרדיים, שירותי בריאות, ממשלה, מסחר אלקטרוני ושירותים בנקאיים/פיננסיים. למעלה מ-96% מ-30 קבוצות הביקורת שנבדקו שלחו אליהן נתונים Microsoft וגוגל. 73% מהאתרים והקבוצות שנבדקו שלחו סיסמאות לשרתים של צד שלישי כאשר האפשרות נבחרה הראה סיסמה. אתרים ושירותים אלה שלא שלחו סיסמאות פשוט לא היו בעלי התכונה הראה סיסמה ולא היו בהכרח מוגנים כראוי.
צוות otto-js יצר קשר Microsoft 365, Alibaba Cloud, Google Cloud, AWS ו-LastPass, שהם חמשת האתרים וספקי שירותי הענן המובילים המהווים את הסיכון הגדול ביותר ללקוחות ארגוניים. על פי עדכוני האבטחה של החברה, AWS ו-LastPass כבר הגיבו ואמרו שהבעיה תוקנה בהצלחה.
אתה יכול לעזור לאוקראינה להילחם נגד הפולשים הרוסים. הדרך הטובה ביותר לעשות זאת היא לתרום כספים לכוחות המזוינים של אוקראינה באמצעות הצלת חיים או דרך העמוד הרשמי NBU.
קרא גם:
הישאר רגוע, השתמש בפיירפוקס
+