Grammaticale extensie-bug kan gegevens hebben blootgesteld aan kwaadwillende actoren

1 minuut. lezen

Uitgegeven op 6 februari 2018

gepubliceerd op 6 februari 2018

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt.

Grammarly bleek eerder dit weekend last te hebben van een bug die gebruikersgegevens blootstelde aan elke website waarop het werd gebruikt. Dit werd gedaan door zijn autorisatietoken bloot te stellen aan de sites, wat betekent dat elke site waarop een Grammarly-gebruiker de extensie gebruikte, in theorie kon inloggen op het gebruikersaccount en toegang kon krijgen tot hun accountgegevens en getypte documenten (indien aanwezig).

Het werd gemeld door Google's Project Zero team, en pas bekendgemaakt nadat het Grammarly-team de kans had gehad om updates uit te brengen om de fout op te lossen.

Kwetsbaarheid in Grammarly-extensie opgelost (20 miljoen gebruikers), gebruikers moeten automatisch worden bijgewerkt naar een vaste versie. Auth-tokens waren toegankelijk voor websites, waardoor elke website kon inloggen op uw account en al uw documenten kon lezen. https://t.co/Ydk0JwArYD

- Tavis Ormandy (@taviso) 5 februari 2018

De extensies voor Chrome en Firefox werden snel gepatcht, terwijl Edge in de eerste plaats geen last had van de bug.

In een verklaring aan Gizmodo, bevestigde een Grammarly-woordvoerder: "De bug is opgelost en Grammarly-gebruikers hoeven niets te doen." Er waren geen gevallen waarin kwaadwillenden de kwetsbaarheid gebruikten om toegang te krijgen tot gebruikersgegevens.

Meer over de onderwerpen: chroom, rand, uitbreiding, firefox, Grammarly