Chyba rozšírenia gramatiky mohla vystaviť údaje škodlivým aktérom

Gramaticky sa začiatkom tohto víkendu zistilo, že trpí chybou, ktorá odhalila používateľské údaje akejkoľvek webovej lokalite, na ktorej bola použitá. Dosiahlo sa to vystavením svojho autorizačného tokenu stránkam, čo znamená, že každá stránka, na ktorej používateľ Grammarly použil rozšírenie, sa teoreticky mohla prihlásiť do používateľského účtu a získať prístup k údajom o svojom účte a zadávať dokumenty (ak nejaké existujú).

Informoval o tom Google Project Zero a zverejnené až potom, čo tím Grammarly mal možnosť vytlačiť aktualizácie, ktoré chybu vyriešili.

Opravená chyba zabezpečenia v rozšírení Grammarly (20 miliónov používateľov), používatelia by mali byť automaticky aktualizovaní na pevnú verziu. Autorizačné tokeny boli prístupné pre webové stránky, čo umožnilo ľubovoľnej webovej lokalite prihlásiť sa do vášho účtu a prečítať si všetky vaše dokumenty. https://t.co/Ydk0JwArYD

- Tavis Ormandy (@taviso) Februára 5, 2018

Rozšírenia pre Chrome a Firefox boli rýchlo opravené, zatiaľ čo Edge v prvom rade touto chybou netrpel.

Vo vyhlásení pre Gizmodo, hovorca Grammarly potvrdil: "Chyba je opravená a používatelia Grammarly nevyžadujú žiadnu akciu." Nevyskytli sa žiadne prípady, kedy by zlí aktéri využívali zraniteľnosť na prístup k užívateľským údajom.