Juma kuni otto-js tadqiqot jamoasi foydalanuvchilar Google Chrome yoki imloni tekshirishning ilg'or funksiyalaridan qanday foydalanishlari haqida maqola chop etdi. Microsoft Edge, parollar va shaxsiy identifikatsiya qilinadigan ma'lumotlarni (PII) uchinchi tomon bulut serverlariga o'zi bilmagan holda uzatishi mumkin. Ushbu zaiflik nafaqat oddiy oxirgi foydalanuvchining shaxsiy ma'lumotlarini xavf ostiga qo'yadi, balki tashkilotning ma'muriy hisob ma'lumotlarini va boshqa infratuzilma bilan bog'liq ma'lumotlarni begonalar uchun himoyasiz qoldirishi mumkin.
Zaiflikni otto-js asoschisi va texnik direktori Josh Summit kompaniyaning skript xatti-harakatlarini aniqlash imkoniyatlarini sinovdan o‘tkazish vaqtida aniqladi. Sinov davomida Samit va otto-js jamoasi Chrome-ning takomillashtirilgan imlo tekshirgichi yoki Edge-dagi MS Editor funksiyalarining to‘g‘ri kombinatsiyasi serverlarga qaytarilganda PII va boshqa maxfiy ma’lumotlarni o‘z ichiga olgan maydon ma’lumotlarini tasodifan oshkor qilganligini aniqladilar. Microsoft va Google. Ikkala xususiyat ham foydalanuvchilardan ularni faollashtirish uchun aniq harakatlarni talab qiladi va yoqilgandan so'ng, foydalanuvchilar ko'pincha o'z ma'lumotlari uchinchi shaxslar bilan bo'lishishayotganini bilishmaydi.
Dala ma'lumotlariga qo'shimcha ravishda, otto-js jamoasi foydalanuvchilarning parollarini parolni ko'rish opsiyasi orqali ochish mumkinligini ham aniqladi. Foydalanuvchilarga parollarni noto‘g‘ri kiritishdan saqlanishga yordam beradigan ushbu parametr ilg‘or imlo tekshiruvi funksiyalari orqali parolni uchinchi tomon serverlariga beixtiyor ochib beradi.
Shaxsiy foydalanuvchilar xavf ostida bo'lgan yagona tomon emas. Zaiflik korporativ hisobga olish ma'lumotlarining ruxsatsiz uchinchi shaxslar tomonidan buzilishiga olib kelishi mumkin. Otto-js jamoasi bulut xizmatlariga va infratuzilma hisoblariga kirgan foydalanuvchilar o'z hisob ma'lumotlarini serverlarga bilmagan holda qanday qilib yuborishi mumkinligini ko'rsatadigan quyidagi misollarni taqdim etdi. Microsoft yoki Google.
Birinchi rasmda (yuqorida) Alibaba Cloud hisobiga kirish misoli ko'rsatilgan. Chrome orqali tizimga kirganingizda, ilg‘or imlo tekshiruvi funksiyasi so‘rov ma’lumotlarini administrator ruxsatisiz Google serverlariga yuboradi. Skrinshotda (quyida) ko'rib turganingizdek, bu ma'lumotlar kompaniya bulutiga kirish uchun kiritilgan haqiqiy parolni o'z ichiga oladi. Bunday ma'lumotlarga kirish korporativ va mijozlar ma'lumotlarini o'g'irlashdan tortib, muhim infratuzilmani to'liq buzishgacha bo'lgan har qanday narsaga olib kelishi mumkin.
Otto-js jamoasi ijtimoiy media, ofis vositalari, sog'liqni saqlash, hukumat, elektron tijorat va bank/moliyaviy xizmatlarga qaratilgan mezonlarni sinovdan o'tkazdi va tahlil qildi. Sinovdan o'tgan 96 nazorat guruhining 30% dan ortig'i ma'lumotlarni qaytarib yubordi Microsoft va Google. Sinovdan o'tgan saytlar va guruhlarning 73 foizi parametr tanlanganida uchinchi tomon serverlariga parollar yuborgan parolni ko'rsatish. Parol yubormagan saytlar va xizmatlar oddiygina xususiyatga ega emas edi parolni ko'rsatish va to'g'ri himoyalangan bo'lishi shart emas.
Otto-js jamoasi aloqaga chiqdi Microsoft 365, Alibaba Cloud, Google Cloud, AWS va LastPass, ular korporativ mijozlar uchun eng katta xavf tug'diradigan eng yaxshi beshta sayt va bulutli xizmat ko'rsatuvchi provayderlardir. Kompaniyaning xavfsizlik yangilanishlariga ko'ra, AWS va LastPass allaqachon javob berishgan va muammo muvaffaqiyatli hal qilinganini aytishgan.
Siz Ukrainaga rus bosqinchilariga qarshi kurashda yordam bera olasiz. Buning eng yaxshi yo'li - Ukraina Qurolli Kuchlariga pul mablag'larini berishdir Savelife yoki rasmiy sahifa orqali NBU.
Shuningdek o'qing:
Tinchlaning, Firefox-dan foydalaning
+