De l’autre côté du miroir : vendredi, l’équipe de recherche d’otto-js a publié un court article décrivant comment les utilisateurs qui utilisent Google Chrome ou les fonctions d’orthographe améliorées de Microsoft Edge peuvent transmettre involontairement des mots de passe et données personnelles identifiables (PII) à des serveurs tiers basés sur le cloud. La vulnérabilité met non seulement en danger les informations privées de l’utilisateur final moyen, mais elle peut également laisser les informations d’identification administratives d’une organisation et d’autres détails liés à l’infrastructure exposés à des célébrations non autorisées.
La vulnérabilité a été découverte par Josh Top, co-fondateur et directeur technique (CTO) d’otto-js, alors qu’il testait les capacités de détection des habitudes de script de l’entreprise. Au cours de la projection, Top et le groupe otto-js ont découvert que la meilleure combinaison de fonctionnalités de la vérification orthographique améliorée de Chrome ou de l’éditeur MS d’Edge exposerait involontairement des données de champ composées de PII et d’autres informations délicates, les renvoyant aux serveurs Microsoft et Google. Les deux fonctions nécessitent que les utilisateurs prennent des mesures spécifiques pour les activer, et une fois activées, les utilisateurs ne sont souvent pas informés que leurs informations sont présentées à des tiers.
En plus des informations de champ, l’équipe otto-js a également découvert l’utilisateur les mots de passe peuvent être exposés via le choix afficher le mot de passe. L’alternative, indiquée pour aider les utilisateurs à s’assurer que les mots de passe ne sont pas mal saisis, expose par inadvertance le mot de passe aux serveurs tiers via les fonctions de vérification orthographique améliorées.
Les utilisateurs privés ne sont pas les seules parties à risque. La vulnérabilité peut conduire les entreprises à voir leurs informations d’identification compromises par des tiers non approuvés. L’équipe otto-js a fourni les exemples suivants pour démontrer comment les utilisateurs se connectant aux services cloud et aux comptes d’infrastructure peuvent voir leurs qualifications d’accès au compte transmises involontairement aux serveurs Microsoft ou Google.
Le premier l’image (ci-dessus) représente un exemple de connexion au compte Alibaba Influence. Lors de la connexion via Chrome, la fonction Enhanced Spellcheck transmet les informations de demande aux serveurs basés sur Google sans l’autorisation d’un administrateur. Comme le montre la capture d’écran ci-dessous, ces informations de demande consistent en le vrai mot de passe saisi pour la connexion au cloud de l’entreprise. L’accès à ce type de détails peut entraîner n’importe quoi, depuis la prise de données commerciales et clients jusqu’à la compromission complète d’installations importantes.
L’équipe otto-js a effectué des tests et des analyses sur des groupes de contrôle axé sur les médias sociaux, les outils de bureau, les soins de santé, le gouvernement fédéral, le commerce électronique et les services bancaires/financiers. Plus de 96 % des 30 groupes de contrôle testés ont renvoyé des données à Microsoft et Google. 73 % de ces sites Web et groupes testés ont envoyé des mots de passe aux serveurs tiers lorsque le choix afficher le mot de passe était sélectionné. Les sites et services qui n’en avaient pas étaient ceux qui n’avaient tout simplement pas la fonction mot de passe du programme et n’étaient pas nécessairement atténués de manière appropriée.
Le groupe otto-js a contacté Microsoft 365 , Alibaba Cloud, Google Cloud, AWS et LastPass, qui représentent les cinq principaux sites et fournisseurs de cloud présentant le plus grand risque d’exposition directe à leurs entreprises clientes. Selon les mises à jour de la société de sécurité, AWS et LastPass ont actuellement répondu et indiqué que l’inquiétude avait été réduite avec succès.
Masthead : Magnifying Glass par l’Agence Olloweb ; captures d’écran de vulnérabilité par otto-js.
Toute l’actualité en temps réel, est sur L’Entrepreneur
