Grammarly extension bug kan ha eksponert data for ondsinnede aktører
1 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Grammarly tidligere denne helgen ble funnet å lide av en feil som eksponerte brukerdata til alle nettsider den ble brukt på. Dette ble gjort ved å eksponere autorisasjonstokenet for nettstedene, noe som betyr at ethvert nettsted som en Grammarly-bruker brukte utvidelsen på, i teorien kunne logge seg på brukerkontoen og få tilgang til kontodataene deres og tastet inn dokumenter (hvis noen).
Det ble rapportert av Googles prosjekt null team, og avslørt først etter at Grammarly-teamet hadde sjansen til å presse ut oppdateringer for å løse feilen.
Sårbarhet i Grammarly-utvidelsen løst (20 millioner brukere), brukere bør automatisk oppdateres til en fast versjon. Auth-tokens var tilgjengelige for nettsteder, slik at alle nettsteder kunne logge seg på kontoen din og lese alle dokumentene dine. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Februar 5, 2018
Utvidelsene for Chrome og Firefox ble raskt lappet, mens Edge ikke led av feilen i utgangspunktet.
I en uttalelse til Gizmodo, bekreftet en Grammarly-talsperson, "Feilen er rettet, og det er ingen handling som kreves av Grammarly-brukere." Det var ingen tilfeller av dårlige aktører som brukte sårbarheten for å få tilgang til brukerdata.
