Através do espelho: Na sexta-feira, a equipe de pesquisa otto-js publicou um artigo descrevendo como os usuários que aproveitam os recursos de ortografia aprimorados do Google Chrome ou do Microsoft Edge podem estar transmitindo senhas e informações de identificação pessoal (PII) para servidores baseados em nuvem de terceiros. A vulnerabilidade não apenas coloca em risco as informações privadas do usuário final médio, mas também pode deixar as credenciais administrativas de uma organização e outras informações relacionadas à infraestrutura expostas a partes não autorizadas.
A vulnerabilidade foi descoberta pelo cofundador e diretor técnico (CTO) da otto-js Josh Summit enquanto testava os recursos de detecção de comportamento de script da empresa. Durante os testes, a Summit e a equipe do otto-js descobriram que a combinação certa de recursos na verificação ortográfica aprimorada do Chrome ou no Editor MS do Edge exporá involuntariamente dados de campo contendo PII e outras informações confidenciais, enviando-os de volta aos servidores da Microsoft e do Google. Ambos os recursos exigem que os usuários tomem uma ação explícita para habilitá-los e, uma vez habilitados, os usuários geralmente não sabem que seus dados estão sendo compartilhados com terceiros.
Além dos dados de campo , a equipe do otto-js também descobriu que as senhas de usuário podem estar sujeitas à exposição por meio da opção view password. A opção, destinada a ajudar os usuários a garantir que as senhas não sejam digitadas incorretamente, expõe inadvertidamente a senha aos servidores de terceiros por meio das funções aprimoradas de verificação ortográfica.
Os usuários individuais não são as únicas partes em risco. A vulnerabilidade pode fazer com que organizações corporativas tenham suas credenciais comprometidas por terceiros não autorizados. A equipe otto-js forneceu os exemplos a seguir para mostrar como os usuários que fazem login em serviços de nuvem e contas de infraestrutura podem ter suas credenciais de acesso de conta passadas inadvertidamente para os servidores da Microsoft ou do Google.
A primeira imagem (acima) representa uma amostra Alibaba Clout Login da conta. Ao fazer login pelo Chrome, a função de verificação ortográfica aprimorada passa as informações de solicitação para servidores baseados no Google sem a autorização de um administrador. Conforme visto na captura de tela abaixo, essas informações de solicitação incluem a senha real que está sendo inserida para o login na nuvem da empresa. O acesso a esse tipo de informação pode resultar em qualquer coisa, desde dados corporativos e de clientes roubados até o comprometimento completo da infraestrutura crítica.
A equipe otto-js realizou testes e análises em grupos de controle focados em mídias sociais, ferramentas de escritório, saúde, governo, comércio eletrônico e serviços bancários/financeiros. Mais de 96% dos 30 grupos de controle testados enviaram dados de volta à Microsoft e ao Google. 73% desses sites e grupos testados enviaram senhas para servidores de terceiros quando a opção
mostrar senha foi selecionada. Aqueles sites e serviços que não tinham eram os que simplesmente não tinham a função show password e não eram necessariamente mitigados adequadamente.
A equipe otto-js entrou em contato com Microsoft 365, Alibaba Cloud, Google Cloud, AWS e LastPass, que representam os cinco principais sites e provedores de serviços em nuvem que apresentam a maior exposição ao risco para seus clientes corporativos. De acordo com as atualizações da empresa de segurança, tanto a AWS quanto o LastPass já responderam e indicaram que o problema foi mitigado com sucesso.
