Greška gramatičkog proširenja mogla je izložiti podatke zlonamjernim akterima

1 min. čitati

Objavljeno na Veljače 6, 2018

objavljeno Veljače 6, 2018

Čitatelji pomažu pri podršci MSpoweruser. Možda ćemo dobiti proviziju ako kupujete putem naših veza.

Ranije ovog vikenda utvrđeno je da Grammarly pati od buga koji je izlagao korisničke podatke bilo kojoj web stranici na kojoj su korišteni. To je učinjeno izlaganjem svog tokena autorizacije web-mjestima, što znači da se svaka web-lokacija na kojoj je korisnik Grammarlyja koristila proširenje teoretski mogla prijaviti na korisnički račun i dobiti pristup podacima o svom računu i upisanim dokumentima (ako ih ima).

To je izvijestio Googleov projekt Zero tim, a otkriven je tek nakon što je tim za Grammarly imao priliku izbaciti ažuriranja koja rješavaju pogrešku.

Ranjivost u proširenju Grammarly ispravljena (20 milijuna korisnika), korisnici bi se trebali automatski ažurirati na fiksnu verziju. Tokeni za autentifikaciju bili su dostupni web-mjestima, omogućujući bilo kojoj web stranici da se prijavi na vaš račun i pročita sve vaše dokumente. https://t.co/Ydk0JwArYD

- Tavis Ormandy (@taviso) Veljače 5, 2018

Ekstenzije za Chrome i Firefox brzo su zakrpljene, dok Edge uopće nije patio od buga.

U izjavi za Gizmodo, glasnogovornik Grammarlyja potvrdio je: "Greška je popravljena i korisnici Grammarlyja ne zahtijevaju nikakve radnje." Nije bilo slučajeva da su loši akteri koristili ranjivost za pristup korisničkim podacima.

Više o temama: krom, rub, nastavak, krijesnica, Grammarly