語法擴展錯誤可能已將數據暴露給惡意行為者

本週末早些時候，Grammarly 被發現存在一個漏洞，該漏洞將用戶數據暴露給使用它的任何網站。 這是通過將其授權令牌暴露給站點來完成的，這意味著 Grammarly 用戶使用擴展的任何站點理論上都可以登錄到用戶帳戶並訪問他們的帳戶數據和鍵入的文檔（如果有的話）。

據報導 谷歌的零項目 團隊，並且只有在 Grammarly 團隊有機會推出解決錯誤的更新後才披露。

Grammarly 擴展中的漏洞已修復（20M 用戶），用戶應自動更新到固定版本。 網站可以訪問身份驗證令牌，允許任何網站登錄您的帳戶並閱讀您的所有文檔。 https://t.co/Ydk0JwArYD

- Tavis Ormandy（@taviso） 2018 年 2 月 5 日

Chrome 和 Firefox 的擴展很快就被修補了，而 Edge 並沒有受到這個錯誤的影響。

在一份聲明中 Gizmodo的，Grammarly 發言人證實，“該錯誤已修復，Grammarly 用戶無需採取任何行動。” 沒有惡意行為者使用該漏洞訪問用戶數據的案例。