Помилка граматичного розширення могла стати доступною для зловмисників
1 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Раніше в ці вихідні було виявлено, що Grammarly страждає від помилки, яка відкриває дані користувача на будь-якому веб-сайті, на якому вони використовувалися. Це було зроблено шляхом розкриття токена авторизації на сайтах, тобто будь-який сайт, на якому користувач Grammarly використовував розширення, теоретично міг увійти в обліковий запис користувача та отримати доступ до даних свого облікового запису та введених документів (якщо такі є).
Про це повідомляє Проект Google Нуль команді, і розкривається лише після того, як команда Grammarly мала можливість випустити оновлення, які усувають помилку.
Виправлена вразливість у розширенні Grammarly (20 млн користувачів), користувачам слід автоматично оновлюватися до виправленої версії. Токени аутентифікації були доступні для веб-сайтів, що дозволяло будь-якому веб-сайту ввійти у ваш обліковий запис і прочитати всі ваші документи. https://t.co/Ydk0JwArYD
- Тавіс Ормандія (@taviso) 5 Лютого, 2018
Розширення для Chrome і Firefox були швидко виправлені, в той час як Edge не постраждав від помилки в першу чергу.
У заяві до Gizmodo, представник Grammarly підтвердив: «Помилка виправлена, і користувачі Grammarly не потребують жодних дій». Не було випадків, коли погані суб’єкти використовували вразливість для доступу до даних користувачів.