देखने वाले कांच के माध्यम से: शुक्रवार को, ओटो-जेएस रिसर्च टीम ने एक लेख प्रकाशित किया जिसमें बताया गया था कि कैसे उपयोगकर्ता Google क्रोम या माइक्रोसॉफ्ट एज की उन्नत वर्तनी सुविधाओं का लाभ उठाकर अनजाने में पासवर्ड और व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) को तीसरे पक्ष के क्लाउड-आधारित सर्वर पर भेज सकते हैं। भेद्यता न केवल औसत अंतिम उपयोगकर्ता की निजी जानकारी को जोखिम में डालती है, बल्कि यह किसी संगठन की प्रशासनिक साख और अन्य बुनियादी ढाँचे से संबंधित जानकारी को अनधिकृत पार्टियों के सामने छोड़ सकती है।

भेद्यता थी की खोज की ओटो-जेएस सह-संस्थापक और मुख्य तकनीकी अधिकारी (सीटीओ) द्वारा जोश शिखर सम्मेलन कंपनी की स्क्रिप्ट व्यवहार पहचान क्षमताओं का परीक्षण करते समय। परीक्षण के दौरान, समिट और ओटो-जेएस टीम ने पाया कि क्रोम में सुविधाओं का सही संयोजन है वर्धित वर्तनी जाँच या एज का एमएस संपादक PII और अन्य संवेदनशील जानकारी वाले फ़ील्ड डेटा को अनजाने में उजागर कर देगा, इसे वापस Microsoft और Google सर्वर पर भेज देगा। दोनों सुविधाओं के लिए उपयोगकर्ताओं को उन्हें सक्षम करने के लिए स्पष्ट कार्रवाई करने की आवश्यकता होती है, और एक बार सक्षम होने के बाद, उपयोगकर्ता अक्सर इस बात से अनजान होते हैं कि उनका डेटा तीसरे पक्ष के साथ साझा किया जा रहा है।

फ़ील्ड डेटा के अलावा, ओटो-जेएस टीम ने यह भी पाया कि उपयोगकर्ता पासवर्ड किसके माध्यम से एक्सपोजर के अधीन हो सकते हैं पासवर्ड देखें विकल्प। यह विकल्प, उपयोगकर्ताओं को यह सुनिश्चित करने में सहायता करने के लिए है कि पासवर्ड गलत तरीके से कुंजीबद्ध नहीं हैं, अनजाने में उन्नत वर्तनी जांच कार्यों के माध्यम से पासवर्ड को तृतीय-पक्ष सर्वरों के लिए उजागर करता है।

व्यक्तिगत उपयोगकर्ता जोखिम में एकमात्र पक्ष नहीं हैं। भेद्यता के परिणामस्वरूप कॉर्पोरेट संगठन अनधिकृत तृतीय पक्षों द्वारा अपनी साख से समझौता कर सकते हैं। ओटो-जेएस टीम ने यह दिखाने के लिए निम्नलिखित उदाहरण प्रदान किए हैं कि कैसे उपयोगकर्ता क्लाउड सेवाओं और बुनियादी ढांचे के खातों में लॉग इन करते हुए अपने खाते तक पहुंच क्रेडेंशियल अनजाने में माइक्रोसॉफ्ट या Google सर्वरों को दे सकते हैं।

पहली छवि (ऊपर) एक नमूना अलीबाबा क्लाउट खाता लॉगिन का प्रतिनिधित्व करती है। क्रोम के माध्यम से लॉग इन करते समय, उन्नत वर्तनी जांच फ़ंक्शन किसी व्यवस्थापक के प्राधिकरण के बिना Google-आधारित सर्वरों को अनुरोध जानकारी भेजता है। जैसा कि नीचे स्क्रीनशॉट में देखा गया है, इस अनुरोध जानकारी में कंपनी के क्लाउड लॉगिन के लिए दर्ज किया जा रहा वास्तविक पासवर्ड शामिल है। इस प्रकार की जानकारी तक पहुंच के परिणामस्वरूप चोरी किए गए कॉर्पोरेट और ग्राहक डेटा से लेकर महत्वपूर्ण बुनियादी ढांचे के पूर्ण समझौता तक कुछ भी हो सकता है।

ओटो-जेएस टीम ने सोशल मीडिया, कार्यालय उपकरण, स्वास्थ्य सेवा, सरकार, ई-कॉमर्स और बैंकिंग/वित्तीय सेवाओं पर केंद्रित नियंत्रण समूहों में परीक्षण और विश्लेषण किया। परीक्षण किए गए 30 नियंत्रण समूहों में से 96% से अधिक ने डेटा को Microsoft और Google को वापस भेज दिया। उन साइटों और समूहों में से 73% ने तीसरे पक्ष के सर्वर को पासवर्ड भेजे जब पासवर्ड दिखाए विकल्प चुना गया था। वे साइटें और सेवाएं जो नहीं थीं, उनमें बस कमी थी पासवर्ड दिखाए कार्य किया और आवश्यक रूप से ठीक से कम नहीं किया गया।

ओटो-जेएस टीम ने संपर्क किया माइक्रोसॉफ्ट 365, अलीबाबा क्लाउड, गूगल क्लाउड, एडब्ल्यूएसतथा लास्ट पास, जो शीर्ष पांच साइटों और क्लाउड सेवा प्रदाताओं का प्रतिनिधित्व करते हैं जो अपने कॉर्पोरेट ग्राहकों के लिए सबसे बड़ा जोखिम जोखिम पेश करते हैं। सुरक्षा कंपनी के अपडेट के मुताबिक, एडब्ल्यूएस और लास्टपास दोनों ने पहले ही प्रतिक्रिया दी है और संकेत दिया है कि इस मुद्दे को सफलतापूर्वक कम कर दिया गया था।

छवि क्रेडिट: आवर्धक लेंस एजेंस ओलोवेब द्वारा; भेद्यता ओटो-जेएस . द्वारा स्क्रीनशॉट

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.