Жұма күні otto-js зерттеу тобы Google Chrome немесе емлені тексерудің кеңейтілген мүмкіндіктерін пайдаланатын пайдаланушылар туралы мақала жариялады. Microsoft Edge құпия сөздерді және жеке сәйкестендірілетін ақпаратты (PII) үшінші тарап бұлттық серверлеріне білмей жіберуі мүмкін. Бұл осалдық қарапайым соңғы пайдаланушының жеке ақпаратына қауіп төндіріп қана қоймайды, сонымен қатар ұйымның әкімшілік тіркелгі деректерін және басқа инфрақұрылымға қатысты ақпаратты бөгде адамдар үшін қорғалмаған қалдыруы мүмкін.
Осалдықты otto-js негізін қалаушы және CTO Josh Summit компанияның сценарий әрекетін анықтау мүмкіндіктерін сынау кезінде тапты. Тестілеу кезінде Самит пен otto-js тобы Chrome-ның жақсартылған емлені тексеру құралының немесе Edge-тегі MS редакторындағы мүмкіндіктердің дұрыс үйлесімі серверлерге кері жіберілген кезде PII және басқа құпия ақпаратты қамтитын өріс деректерін байқаусызда ашқанын анықтады. Microsoft және Google. Екі мүмкіндік те пайдаланушылардан оларды қосу үшін нақты әрекеттерді талап етеді және қосылғаннан кейін пайдаланушылар деректерінің үшінші тараптармен ортақ пайдаланылатынын жиі білмейді.
Өріс деректерінен басқа, otto-js командасы пайдаланушылардың құпия сөздерін құпия сөзді қарау құралы опциясы арқылы ашуға болатынын да анықтады. Пайдаланушыларға құпия сөздерді қате енгізуден аулақ болуға көмектесетін бұл опция кеңейтілген емлені тексеру мүмкіндіктері арқылы құпия сөзді үшінші тарап серверлеріне байқаусызда көрсетеді.
Жеке пайдаланушылар тәуекелге ұшыраған жалғыз тарап емес. Бұл осалдық корпоративтік тіркелгі деректерінің рұқсат етілмеген үшінші тараптармен бұзылуына әкелуі мүмкін. otto-js командасы пайдаланушылардың бұлттық қызметтерге және инфрақұрылым тіркелгілеріне қалай кіргенін, тіркелгі деректерін білместен серверлерге жібере алатынын көрсететін келесі мысалдарды ұсынды. Microsoft немесе Google.
Бірінші сурет (жоғарыда) Alibaba Cloud тіркелгісіне кіру үлгісін көрсетеді. Chrome арқылы кірген кезде, қосымша емлені тексеру мүмкіндігі әкімшінің рұқсатынсыз Google серверлеріне сұрау туралы ақпаратты жібереді. Скриншотта (төменде) көріп отырғаныңыздай, бұл ақпарат компанияның бұлтына кіру үшін енгізілген нақты құпия сөзді қамтиды. Мұндай ақпаратқа қол жеткізу корпоративтік және тұтынушы деректерінің ұрлануынан бастап маңызды инфрақұрылымның толық бұзылуына дейін кез келген нәрсеге әкелуі мүмкін.
otto-js командасы әлеуметтік медиа, кеңсе құралдары, денсаулық сақтау, үкімет, электрондық коммерция және банктік/қаржылық қызметтерге бағытталған көрсеткіштер бойынша тестілеу мен талдау жүргізді. Сыналған 96 бақылау тобының 30%-дан астамы деректерді кері жіберді Microsoft және Google. Тексерілген сайттар мен топтардың 73%-ы опция таңдалған кезде үшінші тарап серверлеріне құпия сөздерді жіберді құпия сөзді көрсету. Құпия сөздерді жібермеген сайттар мен қызметтерде бұл мүмкіндік болған жоқ құпия сөзді көрсету және міндетті түрде дұрыс қорғалмаған.
otto-js командасы хабарласты Microsoft 365, Alibaba Cloud, Google Cloud, AWS және LastPass, олар корпоративтік тұтынушыларға ең үлкен қауіп төндіретін бес сайт және бұлттық қызмет провайдерлері болып табылады. Компанияның қауіпсіздік жаңартуларына сәйкес, AWS және LastPass жауап беріп, мәселе сәтті шешілгенін айтты.
Сіз Украинаға орыс басқыншыларына қарсы күресуге көмектесе аласыз. Мұны істеудің ең жақсы жолы - Украина Қарулы Күштеріне қаражат беру Lifelife немесе ресми парақшасы арқылы NBU.
Сондай-ақ оқыңыз:
Сабыр сақтаңыз, Firefox пайдаланыңыз
+