Chyba rozšíření gramatiky mohla vystavit data škodlivým aktérům
1 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Na začátku tohoto víkendu bylo gramaticky zjištěno, že trpí chybou, která odhalila uživatelská data jakékoli webové stránce, na které byla použita. To bylo provedeno vystavením svého autorizačního tokenu webům, což znamená, že jakýkoli web, na kterém uživatel Grammarly použil rozšíření, se teoreticky mohl přihlásit k uživatelskému účtu a získat přístup k datům svého účtu a zadávat dokumenty (pokud existují).
Informoval o tom Google Project Zero týmu a zveřejněny až poté, co měl tým Grammarly možnost vydat aktualizace řešící chybu.
Chyba zabezpečení v rozšíření Grammarly opravena (20 milionů uživatelů), uživatelé by měli být automaticky aktualizováni na pevnou verzi. Ověřovací tokeny byly přístupné webům a umožňovaly libovolnému webu přihlásit se k vašemu účtu a číst všechny vaše dokumenty. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Února 5, 2018
Rozšíření pro Chrome a Firefox byla rychle opravena, zatímco Edge touto chybou netrpěl jako první.
Ve vyjádření k Gizmodo, mluvčí Grammarly potvrdil: "Chyba je opravena a uživatelé Grammarly nevyžadují žádnou akci." Nevyskytly se žádné případy, kdy by špatní herci tuto chybu zabezpečení využili k přístupu k uživatelským datům.