Ошибка расширения грамматики могла раскрыть данные злоумышленникам
1 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Ранее в эти выходные в Grammarly была обнаружена ошибка, из-за которой пользовательские данные открывались на любом веб-сайте, на котором они использовались. Это было сделано путем предоставления своего токена авторизации сайтам, что означает, что любой сайт, на котором пользователь Grammarly использовал расширение, теоретически мог войти в учетную запись пользователя и получить доступ к данным своей учетной записи и напечатанным документам (если таковые имеются).
Об этом сообщили Нулевой проект Google team и раскрывается только после того, как команда Grammarly получила возможность выпустить обновления, устраняющие ошибку.
Исправлена уязвимость в расширении Grammarly (20 миллионов пользователей), пользователи должны быть автоматически обновлены до исправленной версии. Токены аутентификации были доступны для веб-сайтов, что позволяло любому веб-сайту входить в вашу учетную запись и читать все ваши документы. https://t.co/Ydk0JwArYD
- Тавис Орманди (@taviso) 5 февраля 2018
Расширения для Chrome и Firefox были быстро исправлены, в то время как Edge вообще не пострадал от этой ошибки.
В заявлении Gizmodo, представитель Grammarly подтвердил: «Ошибка исправлена, и от пользователей Grammarly не требуется никаких действий». Случаев использования злоумышленниками уязвимости для доступа к пользовательским данным не было.