Bug de extensão gramatical pode ter exposto dados a agentes mal-intencionados

A Grammarly no início deste fim de semana sofreu um bug que expôs os dados do usuário a qualquer site em que foi usado. Isso foi feito expondo seu token de autorização aos sites, o que significa que qualquer site no qual um usuário do Grammarly usou a extensão poderia, em teoria, fazer login na conta do usuário e obter acesso aos dados da conta e documentos digitados (se houver).

Foi relatado por Projeto Zero do Google team, e divulgado somente depois que a equipe do Grammarly teve a chance de enviar atualizações para resolver o erro.

Vulnerabilidade na extensão Grammarly corrigida (20 milhões de usuários), os usuários devem ser atualizados automaticamente para uma versão corrigida. Os tokens de autenticação eram acessíveis aos sites, permitindo que qualquer site acessasse sua conta e lesse todos os seus documentos. https://t.co/Ydk0JwArYD

- Tavis Ormandy (@taviso) 5 de fevereiro de 2018

As extensões para Chrome e Firefox foram corrigidas rapidamente, enquanto o Edge não sofreu com o bug em primeiro lugar.

Em uma declaração para Gizmodo, um porta-voz do Grammarly confirmou: "O bug foi corrigido e não há nenhuma ação exigida pelos usuários do Grammarly". Não houve casos de maus atores usando a vulnerabilidade para acessar dados do usuário.