Na sexta-feira, a equipe de pesquisa do otto-js publicou um artigo sobre como os usuários que usam os recursos avançados de verificação ortográfica do Google Chrome ou Microsoft Edge, pode transmitir inadvertidamente senhas e informações de identificação pessoal (PII) para servidores em nuvem de terceiros. Esta vulnerabilidade não apenas coloca em risco as informações privadas do usuário final médio, mas também pode deixar as credenciais administrativas de uma organização e outras informações relacionadas à infraestrutura inseguras para terceiros.
A vulnerabilidade foi descoberta pelo cofundador e CTO da otto-js, Josh Summit, enquanto testava os recursos de detecção de comportamento de script da empresa. Durante os testes, Samit e a equipe otto-js descobriram que a combinação certa de recursos no corretor ortográfico aprimorado do Chrome ou no MS Editor no Edge expôs inadvertidamente dados de campo contendo PII e outras informações confidenciais quando enviados de volta aos servidores Microsoft e Google. Ambos os recursos exigem ações explícitas dos usuários para ativá-los e, uma vez ativados, os usuários muitas vezes não sabem que seus dados estão sendo compartilhados com terceiros.
Além dos dados de campo, a equipe do otto-js também descobriu que as senhas dos usuários podem ser reveladas por meio da opção do visualizador de senhas. Essa opção, que ajudará os usuários a evitar inserir senhas incorretamente, expõe inadvertidamente a senha a servidores de terceiros por meio de recursos avançados de verificação ortográfica.
Os usuários individuais não são a única parte em risco. A vulnerabilidade pode resultar no comprometimento de credenciais corporativas por terceiros não autorizados. A equipe otto-js forneceu os seguintes exemplos mostrando como os usuários logados em serviços de nuvem e contas de infraestrutura podem transmitir inadvertidamente suas credenciais aos servidores Microsoft ou Google.
A primeira imagem (acima) mostra um exemplo de login em uma conta do Alibaba Cloud. Quando você faz login pelo Chrome, o recurso de verificação ortográfica avançada envia informações de consulta aos servidores do Google sem permissão do administrador. Como você pode ver na captura de tela (abaixo), essas informações incluem a senha real inserida para fazer login na nuvem da empresa. O acesso a esse tipo de informação pode levar a qualquer coisa, desde o roubo de dados corporativos e de clientes até o comprometimento total da infraestrutura crítica.
A equipe otto-js realizou testes e análises em benchmarks direcionados a mídias sociais, ferramentas de escritório, saúde, governo, comércio eletrônico e serviços bancários/financeiros. Mais de 96% dos 30 grupos de controle testados enviaram dados de volta para Microsoft e Google. 73% dos sites e grupos testados enviaram senhas para servidores de terceiros quando a opção foi selecionada mostrar senha. Aqueles sites e serviços que não enviavam senhas simplesmente não tinham o recurso mostrar senha e não foram necessariamente protegidos adequadamente.
A equipe otto-js contatou Microsoft 365, Alibaba Cloud, Google Cloud, AWS e LastPass, que são os cinco principais sites e provedores de serviços em nuvem que representam o maior risco para os clientes corporativos. De acordo com as atualizações de segurança da empresa, AWS e LastPass já responderam e afirmaram que o problema foi corrigido com sucesso.
Você pode ajudar a Ucrânia a lutar contra os invasores russos. A melhor maneira de fazer isso é doar fundos para as Forças Armadas da Ucrânia através Salva vida ou através da página oficial NBU.
Leia também:
Mantenha a calma, use o Firefox
+