Новости Включенный режим проверки правописания может привести к утечке паролей из Chrome и Edge

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.785
Репутация
62.290
Реакции
276.912
RUB
0
29 из 30 протестированных сайтов отправляли незащищенные пароли обратно в Microsoft и Google.

image



Проблема была обнаружена соучредителем и главным техническим директором компании otto-js Джошем Саммитом. Во время одного из тестирований Саммит и команда ott-js выяснили, что если пользователь включит определенный набор настроек в функции расширенной проверки правописания в Edge или Chrome, то при вводе каких-либо личных данных и паролей, они в незащищенном виде будут отправляться обратно на серверы Microsoft и Google.

Также известно, что пароли могут передаваться на серверы IT-гигантов даже если пользователь просто воспользуется функцией предпросмотра пароля, так как ее затрагивает расширенная проверка правописания.

В опасности данные не только обычные пользователи, но и крупные компании, ведь данные сотрудников могут быть скомпрометированы неизвестными хакерами. Чтобы доказать это, компания привела пример.

content-img(458).png


На первом изображении представлена страница входа в Alibaba Cloud. При входе в систему через Chrome, функция расширенной проверки орфографии без разрешения передает информацию о запросе на серверы Google. Как видно на скриншоте ниже, эта информация включает в себя пароль, который вводит сотрудник компании.

content-img(459).png


Доступ к такой информации может привести к чему угодно: от кражи данных организации и клиентов до полной компрометации критической инфраструктуры.

Команда otto-js провела тестирование и анализ, в результате которого выяснилось, что 29 из 30 контрольных групп (социальные сети, офисные инструменты, правительственные сайты, а также сайты, предоставляющие финансовые услуги) отправляют данные на серверы Google и Microsoft. 73% протестированных сайтов отправляют пароли на сторонние серверы, если пользователь пользуется функцией предпросмотра пароля.

Компания уже связалась с Microsoft 365, Alibaba Cloud, Google Cloud, AWS, LastPass и предупредила их о возможных рисках для корпоративных клиентов. Согласно ответам AWS и LastPass, им уже удалось успешно устранить проблему.









 
Сверху Снизу