शुक्रवार को, otto-js अनुसंधान टीम ने एक लेख प्रकाशित किया कि कैसे उपयोगकर्ता Google Chrome की उन्नत वर्तनी-जाँच सुविधाओं का उपयोग करते हैं या Microsoft एज, अनजाने में पासवर्ड और व्यक्तिगत पहचान योग्य जानकारी (पीआईआई) को तीसरे पक्ष के क्लाउड सर्वर पर प्रसारित कर सकता है। यह भेद्यता न केवल औसत अंतिम उपयोगकर्ता की निजी जानकारी को खतरे में डालती है, बल्कि यह किसी संगठन की प्रशासनिक साख और अन्य बुनियादी ढांचे से संबंधित जानकारी को बाहरी लोगों के लिए असुरक्षित भी छोड़ सकती है।
कंपनी की स्क्रिप्ट व्यवहार पहचान क्षमताओं का परीक्षण करते समय ओटो-जेएस के सह-संस्थापक और सीटीओ जोश समिट द्वारा भेद्यता की खोज की गई थी। परीक्षण के दौरान, समित और ओटो-जेएस टीम ने पाया कि क्रोम के उन्नत वर्तनी परीक्षक या एज में एमएस संपादक में सुविधाओं का सही संयोजन अनजाने में सर्वर पर वापस भेजे जाने पर पीआईआई और अन्य संवेदनशील जानकारी वाले फ़ील्ड डेटा को उजागर कर देता है। Microsoft और गूगल. दोनों सुविधाओं को सक्षम करने के लिए उपयोगकर्ताओं से स्पष्ट कार्रवाई की आवश्यकता होती है, और एक बार सक्षम होने के बाद, उपयोगकर्ता अक्सर इस बात से अनजान होते हैं कि उनका डेटा तीसरे पक्ष के साथ साझा किया जा रहा है।
फ़ील्ड डेटा के अलावा, ओटो-जेएस टीम ने यह भी पाया कि पासवर्ड व्यूअर विकल्प के माध्यम से उपयोगकर्ताओं के पासवर्ड प्रकट किए जा सकते हैं। यह विकल्प, जो उपयोगकर्ताओं को गलत तरीके से पासवर्ड दर्ज करने से बचने में मदद करेगा, अनजाने में उन्नत वर्तनी-जांच सुविधाओं के माध्यम से पासवर्ड को तृतीय-पक्ष सर्वर पर उजागर करता है।
व्यक्तिगत उपयोगकर्ता जोखिम में एकमात्र पक्ष नहीं हैं। इस भेद्यता के परिणामस्वरूप अनधिकृत तृतीय पक्षों द्वारा कॉर्पोरेट साख से समझौता किया जा सकता है। ओट्टो-जेएस टीम ने निम्नलिखित उदाहरण प्रदान किए हैं जिसमें दिखाया गया है कि कैसे क्लाउड सेवाओं और इंफ्रास्ट्रक्चर खातों में लॉग इन किए गए उपयोगकर्ता अनजाने में अपने क्रेडेंशियल्स सर्वर तक पहुंचा सकते हैं Microsoft या गूगल।
पहली छवि (ऊपर) एक अलीबाबा क्लाउड खाते में लॉग इन करने का एक उदाहरण दिखाती है। जब आप क्रोम के माध्यम से साइन इन करते हैं, तो उन्नत वर्तनी जांच सुविधा व्यवस्थापक की अनुमति के बिना Google सर्वर को क्वेरी जानकारी भेजती है। जैसा कि आप स्क्रीनशॉट (नीचे) में देख सकते हैं, इस जानकारी में वास्तविक पासवर्ड शामिल है जो कंपनी के क्लाउड में लॉग इन करने के लिए दर्ज किया गया है। इस तरह की जानकारी तक पहुंच से कॉर्पोरेट और ग्राहक डेटा की चोरी से लेकर महत्वपूर्ण बुनियादी ढांचे के पूर्ण समझौता तक कुछ भी हो सकता है।
ओटो-जेएस टीम ने सोशल मीडिया, कार्यालय उपकरण, स्वास्थ्य सेवा, सरकार, ई-कॉमर्स और बैंकिंग/वित्तीय सेवाओं को लक्षित करने वाले बेंचमार्क पर परीक्षण और विश्लेषण किया। परीक्षण किए गए 96 नियंत्रण समूहों में से 30% से अधिक ने डेटा वापस भेज दिया Microsoft और गूगल. विकल्प चुने जाने पर 73% परीक्षण की गई साइटों और समूहों ने तीसरे पक्ष के सर्वर को पासवर्ड भेजे पासवर्ड दिखाए. जिन साइटों और सेवाओं ने पासवर्ड नहीं भेजा उनमें सुविधा नहीं थी पासवर्ड दिखाए और आवश्यक रूप से ठीक से संरक्षित नहीं थे।
ओटो-जेएस टीम ने संपर्क किया Microsoft 365, अलीबाबा क्लाउड, गूगल क्लाउड, एडब्ल्यूएस और लास्टपास, जो शीर्ष पांच साइटें और क्लाउड सेवा प्रदाता हैं जो एंटरप्राइज़ ग्राहकों के लिए सबसे बड़ा जोखिम पैदा करते हैं। कंपनी के सुरक्षा अपडेट के अनुसार, AWS और LastPass ने पहले ही प्रतिक्रिया दे दी है और बताया है कि समस्या को सफलतापूर्वक ठीक कर लिया गया है।
आप यूक्रेन को रूसी आक्रमणकारियों से लड़ने में मदद कर सकते हैं। ऐसा करने का सबसे अच्छा तरीका यूक्रेन के सशस्त्र बलों को धन दान करना है जीवन बचाएं या आधिकारिक पेज के माध्यम से NBU.
यह भी पढ़ें:
शांत रहें, फायरफॉक्स का प्रयोग करें
+