Venerdì, il gruppo di ricerca otto-js ha pubblicato un articolo su come gli utenti utilizzano le funzionalità avanzate di controllo ortografico di Google Chrome o Microsoft Edge potrebbe trasmettere inconsapevolmente password e informazioni di identificazione personale (PII) a server cloud di terze parti. Questa vulnerabilità non solo mette a rischio le informazioni private dell'utente finale medio, ma può anche lasciare le credenziali amministrative di un'organizzazione e altre informazioni relative all'infrastruttura non protette per gli estranei.
La vulnerabilità è stata scoperta dal cofondatore di otto-js e CTO Josh Summit mentre testava le capacità di rilevamento del comportamento degli script dell'azienda. Durante i test, Samit e il team otto-js hanno scoperto che la giusta combinazione di funzionalità nel controllo ortografico avanzato di Chrome o nell'editor MS in Edge esponeva inavvertitamente dati di campo contenenti PII e altre informazioni sensibili quando venivano rispediti ai server Microsoft e Google. Entrambe le funzionalità richiedono azioni esplicite da parte degli utenti per abilitarle e, una volta abilitate, gli utenti spesso non sono consapevoli che i loro dati vengono condivisi con terze parti.
Oltre ai dati sul campo, il team di otto-js ha anche scoperto che le password degli utenti potevano essere rivelate tramite l'opzione del visualizzatore di password. Questa opzione, che aiuterà gli utenti a evitare di inserire le password in modo errato, espone inavvertitamente la password a server di terze parti attraverso funzionalità avanzate di controllo ortografico.
I singoli utenti non sono l’unica parte a rischio. La vulnerabilità potrebbe comportare la compromissione delle credenziali aziendali da parte di terzi non autorizzati. Il team otto-js ha fornito i seguenti esempi che mostrano come gli utenti che hanno effettuato l'accesso ai servizi cloud e agli account dell'infrastruttura possono trasmettere inconsapevolmente le proprie credenziali ai server Microsoft o Google.
La prima immagine (sopra) mostra un esempio di accesso a un account Alibaba Cloud. Quando accedi tramite Chrome, la funzione di controllo ortografico avanzato invia le informazioni sulle query ai server di Google senza l'autorizzazione dell'amministratore. Come puoi vedere nello screenshot (sotto), queste informazioni includono la password effettiva che viene inserita per accedere al cloud dell'azienda. L'accesso a questo tipo di informazioni può portare a qualsiasi cosa, dal furto di dati aziendali e dei clienti al completo compromesso di infrastrutture critiche.
Il team otto-js ha eseguito test e analisi su benchmark riguardanti social media, strumenti per ufficio, sanità, pubblica amministrazione, commercio elettronico e servizi bancari/finanziari. Oltre il 96% dei 30 gruppi di controllo testati ha inviato dati a Microsoft e Google. Il 73% dei siti e dei gruppi testati ha inviato password a server di terze parti quando l'opzione è stata selezionata mostra password. Quei siti e servizi che non inviavano password semplicemente non avevano la funzione mostra password e non erano necessariamente adeguatamente protetti.
Il team di otto-js ha contattato Microsoft 365, Alibaba Cloud, Google Cloud, AWS e LastPass, che sono i cinque principali siti e fornitori di servizi cloud che rappresentano il rischio maggiore per i clienti aziendali. Secondo gli aggiornamenti di sicurezza dell'azienda, AWS e LastPass hanno già risposto affermando che il problema è stato risolto con successo.
Puoi aiutare l'Ucraina a combattere contro gli invasori russi. Il modo migliore per farlo è donare fondi alle forze armate ucraine attraverso Salva Vita o tramite la pagina ufficiale NBU.
Leggi anche:
Mantieni la calma, usa Firefox
+