سرقت اطلاعات شخصی کاربران در گوگل و مایکروسافت

Rate this post

مرکز تحقیقاتی Otto-js با انتشار گزارشی مدعی شد کاربرانی که از قابلیت‌های تصحیح نوشتاری گوگل کروم یا مایکروسافت اج استفاده ‌می‌کنند، ممکن است ناخواسته رمزهای عبور و یا اطلاعات شخصی (PII) خود را به سرورهای ابری شخص ثالث ارسال کنند.

به گفته این شرکت، آسیب‌پذیری مذکور نه‌تنها اطلاعات خصوصی کاربر را در معرض خطر و در دسترس هکرها قرار ‌می‌دهد بلکه ‌می‌تواند اطلاعات محرمانه و حیاتی سازمان‌ها و یا داده‌های مرتبط با زیرساخت‌های آنها را در اختیار اشخاص و گروه‌های ناشناس قرار دهد.

این آسیب‌پذیری توسط جاش اسمیت بنیانگذار و مدیر ارشد فنی Otto-js در حین تست قابلیت‌های تشخیص رفتار اسکریپ این شرکت شناسایی شد. سامیت و تیم Otto-js در این تست به این نتیجه رسیدند که ترکیب مناسب قابلیت‌ها در بررسی تصحیح پیشرفته نوشتار مرورگر کروم و یا MS Editor مرورگر اج، به صورت ناخواسته اطلاعات کاربران را در معرض نمایش قرار ‌می‌دهد و آنها را به سرورهای گوگل و مایکروسافت ارسال ‌می‌کند.

به گفته این تیم، دو قابلیت مذکور از کاربران ‌می‌خواهند که آنها را فعال کنند که به محض فعال شدن، داده‌های افراد بدون اطلاعات آنها، با اشخاص ثالث به اشتراک گذاشته ‌می‌شود. تیم Otto-js همچنین پی برد که رمزهای عبور کاربران ممکن است از طریق گزینه View Password، در معرض خطر باشد.

این گزینه که به منظور چک کردن وارد شدن درست رمزعبور از سوی کاربر مورد استفاده قرار ‌می‌گیرد، ‌می‌تواند از طریق فرآیندهای مرتبط با تصحیح پیشرفته نوشتار، رمز عبور وی را بدون آنکه مطلع شود، برای افراد ناشناس ارسال کند.

البته این تیم اعلام کرد که کاربران عادی، تنها افرادی نیستند که ممکن است تحت تاثیر این آسیب‌پذیری قرار گیرند. احتمال به خطر افتادن اطلاعات شخصی و محرمانه شرکت‌ها و سازمان‌ها نیز وجود دارد.

بر اساس بررسی‌ها و تست‌هایی که این تیم روی 30 گروه کنترل‌شده انجام دادند، مشخص شد که در بیش از 96 درصد از این گروه‌ها، اطلاعات به گوگل و مایکروسافت ارسال ‌می‌شود.

همچنین در این گزارش آمده که در 73 درصد از این وب‌سایت‌ها و گروه‌های کنترل‌شده، مشاهده شد که رمزهای عبور به سرورهای ناشناس و شخص ثالث ارسال ‌می‌شوند. این اتفاق زمانی ‌می‌افتد که کاربران، گزینه Show Password را برای مشاهده رمز عبور خود انتخاب ‌می‌کنند.

Rate this post

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.