Pada hari Jumat, tim peneliti otto-js menerbitkan artikel tentang bagaimana pengguna yang menggunakan fitur pemeriksa ejaan tingkat lanjut di Google Chrome atau Microsoft Edge, mungkin tanpa sadar mengirimkan kata sandi dan informasi identitas pribadi (PII) ke server cloud pihak ketiga. Kerentanan ini tidak hanya membahayakan informasi pribadi rata-rata pengguna akhir, namun juga dapat menyebabkan kredensial administratif organisasi dan informasi terkait infrastruktur lainnya tidak aman bagi pihak luar.
Kerentanan ini ditemukan oleh salah satu pendiri otto-js dan CTO Josh Summitt saat menguji kemampuan deteksi perilaku skrip perusahaan. Selama pengujian, Samit dan tim otto-js menemukan bahwa kombinasi fitur yang tepat di pemeriksa ejaan Chrome yang disempurnakan atau Editor MS di Edge secara tidak sengaja mengekspos data lapangan yang berisi PII dan informasi sensitif lainnya saat dikirim kembali ke server Microsoft dan Google. Kedua fitur tersebut memerlukan tindakan eksplisit dari pengguna untuk mengaktifkannya, dan setelah diaktifkan, pengguna sering kali tidak menyadari bahwa data mereka sedang dibagikan kepada pihak ketiga.
Selain data lapangan, tim otto-js juga menemukan bahwa kata sandi pengguna dapat diungkapkan melalui opsi penampil kata sandi. Opsi ini, yang akan membantu pengguna menghindari salah memasukkan kata sandi, secara tidak sengaja memaparkan kata sandi ke server pihak ketiga melalui fitur pemeriksa ejaan lanjutan.
Pengguna perorangan bukanlah satu-satunya pihak yang berisiko. Kerentanan ini dapat mengakibatkan kredensial perusahaan disusupi oleh pihak ketiga yang tidak berwenang. Tim otto-js memberikan contoh berikut yang menunjukkan bagaimana pengguna yang masuk ke layanan cloud dan akun infrastruktur tanpa sadar dapat mengirimkan kredensial mereka ke server Microsoft atau Google.
Gambar pertama (di atas) menunjukkan contoh login ke akun Alibaba Cloud. Saat Anda masuk melalui Chrome, fitur pemeriksa ejaan lanjutan mengirimkan informasi kueri ke server Google tanpa izin administrator. Seperti yang Anda lihat di tangkapan layar (di bawah), informasi ini mencakup kata sandi sebenarnya yang dimasukkan untuk masuk ke cloud perusahaan. Akses ke informasi semacam ini dapat mengarah pada apa saja, mulai dari pencurian data perusahaan dan pelanggan hingga kompromi menyeluruh terhadap infrastruktur penting.
Tim otto-js melakukan pengujian dan analisis terhadap tolok ukur yang menargetkan media sosial, peralatan kantor, layanan kesehatan, pemerintahan, e-commerce, dan layanan perbankan/keuangan. Lebih dari 96% dari 30 kelompok kontrol yang diuji mengirimkan data kembali Microsoft dan Google. 73% situs dan grup yang diuji mengirimkan kata sandi ke server pihak ketiga ketika opsi tersebut dipilih tampilkan kata sandi. Situs dan layanan yang tidak mengirim kata sandi sama sekali tidak memiliki fitur tampilkan kata sandi dan belum tentu terlindungi dengan baik.
Tim otto-js menghubungi Microsoft 365, Alibaba Cloud, Google Cloud, AWS, dan LastPass, yang merupakan lima situs dan penyedia layanan cloud teratas yang menimbulkan risiko terbesar bagi pelanggan perusahaan. Menurut pembaruan keamanan perusahaan, AWS dan LastPass telah merespons dan melaporkan bahwa masalah tersebut telah berhasil diperbaiki.
Anda dapat membantu Ukraina melawan penjajah Rusia. Cara terbaik untuk melakukannya adalah dengan menyumbangkan dana ke Angkatan Bersenjata Ukraina melalui selamatkan hidup atau melalui halaman resmi NBU.
Baca juga:
Tetap tenang, gunakan Firefox
+