Greška gramatičkog proširenja mogla je izložiti podatke zlonamjernim akterima
1 min. čitati
Objavljeno na
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Ranije ovog vikenda utvrđeno je da Grammarly pati od buga koji je izlagao korisničke podatke bilo kojoj web stranici na kojoj su korišteni. To je učinjeno izlaganjem svog tokena autorizacije web-mjestima, što znači da se svaka web-lokacija na kojoj je korisnik Grammarlyja koristila proširenje teoretski mogla prijaviti na korisnički račun i dobiti pristup podacima o svom računu i upisanim dokumentima (ako ih ima).
To je izvijestio Googleov projekt Zero tim, a otkriven je tek nakon što je tim za Grammarly imao priliku izbaciti ažuriranja koja rješavaju pogrešku.
Ranjivost u proširenju Grammarly ispravljena (20 milijuna korisnika), korisnici bi se trebali automatski ažurirati na fiksnu verziju. Tokeni za autentifikaciju bili su dostupni web-mjestima, omogućujući bilo kojoj web stranici da se prijavi na vaš račun i pročita sve vaše dokumente. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Veljače 5, 2018
Ekstenzije za Chrome i Firefox brzo su zakrpljene, dok Edge uopće nije patio od buga.
U izjavi za Gizmodo, glasnogovornik Grammarlyja potvrdio je: "Greška je popravljena i korisnici Grammarlyja ne zahtijevaju nikakve radnje." Nije bilo slučajeva da su loši akteri koristili ranjivost za pristup korisničkim podacima.