Błąd rozszerzenia Grammarly mógł ujawnić dane złośliwym cyberprzestępcom
1 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Okazało się, że Grammarly na początku tego weekendu cierpi na błąd, który ujawniał dane użytkownika na dowolnej witrynie, na której był używany. Dokonano tego poprzez udostępnienie tokenu autoryzacji witrynom, co oznacza, że każda witryna, na której użytkownik Grammarly używał rozszerzenia, mogła teoretycznie zalogować się na konto użytkownika i uzyskać dostęp do danych konta i wpisać dokumenty (jeśli takie istnieją).
Zostało zgłoszone przez Projekt Zero firmy Google i ujawnione dopiero po tym, jak zespół Grammarly miał szansę opublikować aktualizacje rozwiązujące błąd.
Naprawiono lukę w rozszerzeniu Grammarly (20 milionów użytkowników), użytkownicy powinni zostać automatycznie zaktualizowani do poprawionej wersji. Tokeny uwierzytelniające były dostępne dla witryn internetowych, umożliwiając dowolnej witrynie zalogowanie się na Twoje konto i przeczytanie wszystkich dokumentów. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) 5 lutego 2018 r.
Rozszerzenia dla Chrome i Firefox zostały szybko załatane, podczas gdy Edge nie cierpiał z powodu błędu.
W oświadczeniu do Gizmodo, rzecznik Grammarly potwierdził: „Błąd został naprawiony i użytkownicy Grammarly nie muszą podejmować żadnych działań”. Nie było przypadków złych podmiotów wykorzystujących lukę w celu uzyskania dostępu do danych użytkownika.