في يوم الجمعة، نشر فريق البحث otto-js مقالًا حول كيفية استخدام المستخدمين لميزات التدقيق الإملائي المتقدمة في Google Chrome أو Microsoft Edge، قد تنقل كلمات المرور ومعلومات التعريف الشخصية (PII) دون قصد إلى خوادم سحابية تابعة لجهات خارجية. لا تؤدي مشكلة عدم الحصانة هذه إلى تعريض المعلومات الخاصة للمستخدم النهائي العادي للخطر فحسب، بل يمكنها أيضًا ترك بيانات الاعتماد الإدارية للمؤسسة وغيرها من المعلومات المتعلقة بالبنية التحتية غير آمنة للغرباء.
تم اكتشاف الثغرة الأمنية من قبل المؤسس المشارك لـ otto-js والمدير التنفيذي للتكنولوجيا جوش ساميت أثناء اختبار قدرات اكتشاف سلوك البرمجة النصية للشركة. أثناء الاختبار، وجد Samit وفريق otto-js أن المجموعة الصحيحة من الميزات في المدقق الإملائي المحسن في Chrome أو MS Editor في Edge كشفت عن غير قصد بيانات الحقل التي تحتوي على معلومات تحديد الهوية الشخصية وغيرها من المعلومات الحساسة عند إرسالها مرة أخرى إلى الخوادم Microsoft وجوجل. تتطلب كلتا الميزتين إجراءات واضحة من المستخدمين لتمكينهما، وبمجرد تمكينهما، غالبًا ما لا يدرك المستخدمون أن بياناتهم تتم مشاركتها مع أطراف ثالثة.
بالإضافة إلى البيانات الميدانية ، اكتشف فريق otto-js أيضًا أنه يمكن الكشف عن كلمات مرور المستخدمين من خلال خيار عارض كلمات المرور. هذا الخيار ، الذي يساعد المستخدمين على تجنب كتابة كلمات المرور بشكل غير صحيح ، يعرض كلمة المرور عن غير قصد لخوادم الجهات الخارجية من خلال ميزات التدقيق الإملائي المتقدمة.
المستخدمون الأفراد ليسوا الطرف الوحيد المعرض للخطر. يمكن أن تؤدي الثغرة الأمنية إلى اختراق بيانات اعتماد الشركة من قبل أطراف ثالثة غير مصرح بها. قدم فريق otto-js الأمثلة التالية التي توضح كيف يمكن للمستخدمين الذين قاموا بتسجيل الدخول إلى الخدمات السحابية وحسابات البنية التحتية نقل بيانات الاعتماد الخاصة بهم إلى الخوادم دون قصد Microsoft أو جوجل.
تُظهر الصورة الأولى (أعلاه) مثالاً لتسجيل الدخول إلى حساب Alibaba Cloud. عند تسجيل الدخول عبر Chrome ، ترسل ميزة التدقيق الإملائي المتقدمة معلومات الاستعلام إلى خوادم Google بدون إذن المسؤول. كما ترى في لقطة الشاشة (أدناه) ، تتضمن هذه المعلومات كلمة المرور الفعلية التي تم إدخالها لتسجيل الدخول إلى سحابة الشركة. يمكن أن يؤدي الوصول إلى هذا النوع من المعلومات إلى أي شيء من سرقة بيانات الشركة والعملاء إلى التسوية الكاملة للبنية التحتية الحيوية.
أجرى فريق otto-js اختبارات وتحليلات للمعايير التي تستهدف وسائل التواصل الاجتماعي، والأدوات المكتبية، والرعاية الصحية، والحكومة، والتجارة الإلكترونية، والخدمات المصرفية/المالية. أكثر من 96% من 30 مجموعة مراقبة تم اختبارها أرسلوا البيانات إلى Microsoft وجوجل. أرسلت 73% من المواقع والمجموعات التي تم اختبارها كلمات مرور إلى خوادم خارجية عند تحديد الخيار عرض كلمة المرور. تلك المواقع والخدمات التي لم ترسل كلمات مرور ببساطة لم يكن لديها هذه الميزة عرض كلمة المرور ولم تكن بالضرورة محمية بشكل صحيح.
اتصل فريق otto-js Microsoft 365، وAlibaba Cloud، وGoogle Cloud، وAWS، وLastPass، وهي أفضل خمسة مواقع ومقدمي خدمات سحابية تشكل أكبر خطر على عملاء المؤسسات. وفقًا للتحديثات الأمنية للشركة، استجابت AWS وLastPass بالفعل وقالتا إنه تم حل المشكلة بنجاح.
يمكنك مساعدة أوكرانيا في محاربة الغزاة الروس. أفضل طريقة للقيام بذلك هي التبرع بالأموال للقوات المسلحة لأوكرانيا من خلال الحفاظ على الحياة او من خلال الصفحة الرسمية NBU.
اقرأ أيضا:
حافظ على هدوئك ، استخدم Firefox
+