Chyba rozšírenia gramatiky mohla vystaviť údaje škodlivým aktérom
1 min. čítať
Publikované dňa
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Gramaticky sa začiatkom tohto víkendu zistilo, že trpí chybou, ktorá odhalila používateľské údaje akejkoľvek webovej lokalite, na ktorej bola použitá. Dosiahlo sa to vystavením svojho autorizačného tokenu stránkam, čo znamená, že každá stránka, na ktorej používateľ Grammarly použil rozšírenie, sa teoreticky mohla prihlásiť do používateľského účtu a získať prístup k údajom o svojom účte a zadávať dokumenty (ak nejaké existujú).
Informoval o tom Google Project Zero a zverejnené až potom, čo tím Grammarly mal možnosť vytlačiť aktualizácie, ktoré chybu vyriešili.
Opravená chyba zabezpečenia v rozšírení Grammarly (20 miliónov používateľov), používatelia by mali byť automaticky aktualizovaní na pevnú verziu. Autorizačné tokeny boli prístupné pre webové stránky, čo umožnilo ľubovoľnej webovej lokalite prihlásiť sa do vášho účtu a prečítať si všetky vaše dokumenty. https://t.co/Ydk0JwArYD
- Tavis Ormandy (@taviso) Februára 5, 2018
Rozšírenia pre Chrome a Firefox boli rýchlo opravené, zatiaľ čo Edge v prvom rade touto chybou netrpel.
Vo vyhlásení pre Gizmodo, hovorca Grammarly potvrdil: "Chyba je opravená a používatelia Grammarly nevyžadujú žiadnu akciu." Nevyskytli sa žiadne prípady, kedy by zlí aktéri využívali zraniteľnosť na prístup k užívateľským údajom.