Cümə günü, otto-js tədqiqat qrupu istifadəçilərin Google Chrome və ya qabaqcıl orfoqrafik yoxlama funksiyalarından necə istifadə etdikləri haqqında məqalə dərc etdi. Microsoft Edge, bilmədən parolları və şəxsi identifikasiya edilə bilən məlumatları (PII) üçüncü tərəf bulud serverlərinə ötürə bilər. Bu boşluq təkcə adi son istifadəçinin şəxsi məlumatını risk altında qoymur, həm də təşkilatın inzibati etimadnaməsini və digər infrastrukturla bağlı məlumatlarını kənar şəxslər üçün qorunmamış qoya bilər.
Boşluq otto-js həmtəsisçisi və texniki direktor Josh Summit tərəfindən şirkətin skript davranışının aşkarlanması imkanlarını sınaqdan keçirərkən aşkar edilib. Sınaq zamanı Samit və otto-js komandası müəyyən etdi ki, Chrome-un təkmilləşdirilmiş orfoqrafiya yoxlayıcısı və ya Edge-də MS Redaktorunda funksiyaların düzgün kombinasiyası serverlərə geri göndərilərkən təsadüfən PII və digər həssas məlumatları ehtiva edən sahə məlumatlarını ifşa edib. Microsoft və Google. Hər iki xüsusiyyət istifadəçilərdən onları aktivləşdirmək üçün açıq hərəkətlər tələb edir və aktivləşdirildikdən sonra istifadəçilər çox vaxt məlumatlarının üçüncü tərəflərlə paylaşıldığından xəbərsiz olurlar.
Sahə məlumatlarına əlavə olaraq, otto-js komandası istifadəçilərin parollarının parol görüntüləyicisi seçimi vasitəsilə aşkar edilə biləcəyini də aşkar etdi. İstifadəçilərə parolları səhv daxil etməməkdə kömək edəcək bu seçim qabaqcıl orfoqrafik yoxlama funksiyaları vasitəsilə səhvən parolu üçüncü tərəf serverlərinə təqdim edir.
Fərdi istifadəçilər risk altında olan yeganə tərəf deyil. Zəiflik korporativ etimadnamələrin icazəsiz üçüncü tərəflər tərəfindən oğurlanması ilə nəticələnə bilər. Otto-js komandası bulud xidmətlərinə və infrastruktur hesablarına daxil olan istifadəçilərin öz etimadnamələrini bilmədən serverlərə necə ötürə biləcəyini göstərən aşağıdakı nümunələri təqdim etdi. Microsoft və ya Google.
Birinci şəkil (yuxarıda) Alibaba Cloud hesabına daxil olma nümunəsini göstərir. Chrome vasitəsilə daxil olduğunuz zaman qabaqcıl orfoqrafiya yoxlaması funksiyası administrator icazəsi olmadan sorğu məlumatlarını Google serverlərinə göndərir. Ekran görüntüsündə (aşağıda) gördüyünüz kimi, bu məlumatlara şirkətin buluduna daxil olmaq üçün daxil edilən faktiki parol daxildir. Bu cür məlumatlara giriş korporativ və müştəri məlumatlarının oğurlanmasından tutmuş kritik infrastrukturun tam güzəştinə qədər hər şeyə gətirib çıxara bilər.
otto-js komandası sosial media, ofis alətləri, səhiyyə, hökumət, e-ticarət və bank/maliyyə xidmətlərini hədəfləyən meyarlar üzrə sınaq və təhlillər həyata keçirib. Test edilən 96 nəzarət qrupunun 30%-dən çoxu məlumatları geri göndərdi Microsoft və Google. Sınaqdan keçmiş sayt və qrupların 73%-i seçim seçildikdə üçüncü tərəf serverlərinə parol göndərib parol göstərin. Parol göndərməyən saytlar və xidmətlər sadəcə olaraq xüsusiyyətə malik deyildi parol göstərin və lazımi şəkildə qorunmamalıdır.
otto-js komandası əlaqə saxladı Microsoft 365, Alibaba Cloud, Google Cloud, AWS və LastPass, korporativ müştərilər üçün ən böyük risk yaradan ilk beş sayt və bulud xidməti təminatçısıdır. Şirkətin təhlükəsizlik yeniləmələrinə görə, AWS və LastPass artıq cavab verib və problemin uğurla həll edildiyini bildirib.
Siz Ukraynaya rus işğalçılarına qarşı mübarizədə kömək edə bilərsiniz. Bunun ən yaxşı yolu Ukrayna Silahlı Qüvvələrinə pul köçürməkdir Savelife və ya rəsmi səhifə vasitəsilə NBU.
Həmçinin oxuyun:
Sakit olun, Firefox-dan istifadə edin
+