Рӯзи ҷумъа гурӯҳи тадқиқотии otto-js мақолае нашр кард, ки чӣ гуна корбароне, ки хусусиятҳои пешрафтаи санҷиши имло дар Google Chrome ё Microsoft Edge, метавонад бидуни надониста паролҳо ва маълумоти шахсии муайяншавандаро (PII) ба серверҳои абрии тарафи сеюм интиқол диҳад. Ин осебпазирӣ на танҳо маълумоти шахсии корбари ниҳоии миёнаро зери хатар мегузорад, балки инчунин метавонад маълумоти маъмурии созмон ва дигар иттилооти марбут ба инфрасохторро барои шахсони бегона беамн гузорад.
Ин осебпазириро ҳаммуассиси otto-js ва CTO Ҷош Саммитт ҳангоми санҷиши қобилиятҳои ошкор кардани рафтори скрипти ширкат кашф кардааст. Ҳангоми санҷиш, Самит ва дастаи otto-js муайян карданд, ки омезиши дурусти хусусиятҳо дар санҷиши имлои мукаммали Chrome ё MS Editor дар Edge ҳангоми фиристодан ба серверҳо маълумоти саҳроии дорои PII ва дигар маълумоти ҳассосро тасодуфан фош кардааст. Microsoft ва Google. Ҳарду хусусият аз корбарон амалҳои возеҳро талаб мекунанд, то онҳоро фаъол созанд ва пас аз фаъол шудан, корбарон аксар вақт намедонанд, ки маълумоти онҳо бо шахсони сеюм мубодила мешавад.
Илова ба маълумоти саҳроӣ, дастаи otto-js инчунин муайян кард, ки паролҳои корбаронро тавассути варианти намоишгари парол ошкор кардан мумкин аст. Ин хосият, ки ба корбарон кӯмак мекунад, ки аз вуруди нодурусти паролҳо канорагирӣ кунанд, тавассути хусусиятҳои пешрафтаи санҷиши имло паролро нохост ба серверҳои тарафи сеюм фош мекунад.
Истифодабарандагони инфиродӣ ягона тарафе нестанд, ки зери хатар ҳастанд. Ин осебпазирӣ метавонад ба он оварда расонад, ки маълумоти корпоратсия аз ҷониби шахсони сеюми беиҷозат халалдор шавад. Дастаи otto-js мисолҳои зеринро пешниҳод кард, ки нишон медиҳанд, ки чӣ тавр корбарон ба хидматҳои абрӣ ва ҳисобҳои инфрасохторӣ ворид шудаанд, метавонанд маълумоти эътимоднокии худро надониста ба серверҳо интиқол диҳанд. Microsoft ё Google.
Тасвири аввал (дар боло) намунаи ворид шудан ба ҳисоби Alibaba Cloud нишон медиҳад. Вақте ки шумо тавассути Chrome ворид мешавед, хусусияти мукаммали санҷиши имло маълумоти дархостро ба серверҳои Google бе иҷозати администратор мефиристад. Тавре ки шумо дар скриншот мебинед (дар зер), ин маълумот пароли воқеиро дар бар мегирад, ки барои ворид шудан ба абри ширкат ворид карда мешавад. Дастрасӣ ба ин гуна маълумот метавонад ба ҳама чиз аз дуздии маълумоти корпоративӣ ва муштарӣ оварда расонад, то пурра вайрон кардани инфрасохтори муҳим.
Дастаи otto-js санҷиш ва таҳлилро дар бораи меъёрҳое анҷом дод, ки ба васоити ахбори иҷтимоӣ, асбобҳои офисӣ, тандурустӣ, ҳукумат, тиҷорати электронӣ ва хидматрасонии бонкӣ/молиявӣ нигаронида шудаанд. Зиёда аз 96% аз 30 гурӯҳи назоратии санҷидашуда маълумотро ба онҳо баргардонданд Microsoft ва Google. 73% сайтҳо ва гурӯҳҳои санҷидашуда ҳангоми интихоби интихоб паролҳоро ба серверҳои тарафи сеюм фиристоданд паролро нишон диҳед. Он сайтҳо ва хидматҳое, ки парол нафиристоданд, ин хусусият надоштанд паролро нишон диҳед ва ҳатман дуруст муҳофизат карда нашудаанд.
Коллективи otto-js тамос гирифт Microsoft 365, Alibaba Cloud, Google Cloud, AWS ва LastPass, ки панҷ сайт ва провайдерҳои хидматрасонии абрӣ мебошанд, ки барои муштариёни корхона хатари калон доранд. Тибқи навсозиҳои амниятии ширкат, AWS ва LastPass аллакай вокуниш нишон доданд ва гузориш доданд, ки мушкилот бомуваффақият ҳал карда шудааст.
Шумо метавонед ба Украина дар мубориза бар зидди истилогарони рус кӯмак кунед. Роҳи беҳтарини иҷрои ин хайрия маблағ ба Қувваҳои Мусаллаҳи Украина мебошад Savelife ё тавассути саҳифаи расмӣ NBU.
Ҳамчунин хонед:
Ором бошед, Firefox-ро истифода баред
+