Lỗ hổng bảo mật được các nhà nghiên cứu tại công ty bảo mật Otto JavaScript Security (có trụ sở tại Hoa Kỳ) gọi là "lỗi chính tả", có thể làm lộ thông tin nhận dạng cá nhân từ một số trang web của các doanh nghiệp được sử dụng rộng rãi như: Alibaba, Amazon Web Services, Google Cloud, LastPass, Office 365,...
Người đồng sáng lập Otto-js và CTO Josh Summit đã phát hiện ra sự cố khi đang thực hiện tiến hành nghiên cứu về cách các trình duyệt rò rỉ dữ liệu và đã phát hiện ra tính năng Kiểm tra chính tả nâng cao của Chrome và Trình chỉnh sửa MS của Edge được bật trên các trình duyệt gửi dữ liệu đến Google và Microsoft. Điều này xảy ra khi thông tin người dùng được nhập vào các trường biểu mẫu trên các trang web hoặc dịch vụ web khi sử dụng trình duyệt, chẳng hạn như tên người dùng, email, ngày sinh và số an sinh xã hội.
Chrome và Edge cũng làm rò rỉ mật khẩu người dùng nếu tính năng "hiển thị mật khẩu" được chọn và khi người dùng nhập mật khẩu vào một trang web hoặc dịch vụ thì những dữ liệu đó sẽ được gửi đến máy chủ bên thứ ba của Google và Microsoft.
Các nhà nghiên cứu đã đăng video lên YouTube về cách thức rò rỉ dữ liệu và thực hiện kiểm tra hơn 50 trang web mà người dùng thường xuyên sử dụng hàng ngày hoặc hàng tuần có quyền truy cập vào PII. Nhóm nghiên cứu gồm 30 người đã chia các trang web thành các nhóm và dựa trên xếp hạng ưu tiên trong mỗi ngành để thực hiện rà soát bao gồm sáu danh mục: ngân hàng trực tuyến, công cụ văn phòng đám mây, chăm sóc sức khỏe, chính phủ, truyền thông xã hội và thương mại điện tử.
Trong số 50 trang web rà soát được thử nghiệm, có đến 96,7% đã gửi dữ liệu với PII trở lại Google và Microsoft, trong khi 73% đã gửi mật khẩu khi người dùng thực hiện chọn chức năng "hiển thị mật khẩu". Những trang web còn lại không thực hiện gửi mật khẩu là do thiếu tính năng "hiển thị mật khẩu".
Trong số các trang web mà các nhà nghiên cứu đã điều tra, Google là trang duy nhất đã khắc phục sự cố cho email và một số dịch vụ. Tuy nhiên, Otto-js nhận thấy rằng dịch vụ Web Google Cloud Secret Manager của công ty vẫn dễ bị tấn công. Trong khi đó, Auth0 - dịch vụ đăng nhập một lần phổ biến, không nằm trong nhóm kiểm soát mà các nhà nghiên cứu đã điều tra nhưng là trang web duy nhất ngoài Google đã khắc phục sự cố một cách chính xác.
Theo người phát ngôn của Google, "Văn bản do người dùng nhập có thể là thông tin cá nhân nhạy cảm, Google không đính kèm nó với bất kỳ danh tính người dùng nào và chỉ xử lý tạm thời trên máy chủ. Để đảm bảo hơn nữa quyền riêng tư của người dùng, chúng tôi sẽ chủ động loại trừ mật khẩu khỏi việc kiểm tra chính tả. Chúng tôi đánh giá cao sự hợp tác với cộng đồng bảo mật và chúng tôi luôn tìm cách để bảo vệ tốt hơn quyền riêng tư và thông tin nhạy cảm của người dùng".
Người dùng của một số ứng dụng dựa trên đám mây dành cho doanh nghiệp cũng gặp rủi ro khi nhập thông tin vào biểu mẫu trong khi sử dụng ứng dụng trên Chrome và Edge, nếu tính năng kiểm tra chính tả được bật. Trong số các dịch vụ nói trên, các nhóm bảo mật từ Amazon Web Services và LastPass đã phản hồi với Otto-js và khắc phục được sự cố.
Một câu hỏi lớn được đặt ra là điều gì sẽ xảy ra với dữ liệu sau khi được gửi tới Google và Microsoft. Tại thời điểm này, không ai biết liệu dữ liệu đang được lưu trữ ở đâu và ai đang quản lý chúng. Các nhà nghiên cứu cũng không rõ liệu chúng có được quản lý với mức độ bảo mật giống như đối với dữ liệu nhạy cảm hay không, hay liệu nó có được nhóm sản phẩm sử dụng làm siêu dữ liệu để tinh chỉnh mô hình hay không.
Các nhà nghiên cứu nhận thấy rằng vấn đề này một lần nữa làm dấy lên lo ngại về việc các công ty công nghệ như Google và Microsoft có quá nhiều quyền truy cập vào thông tin nhạy cảm về khách hàng. Đặc biệt là khi liên quan đến mật khẩu.
Việc rò rỉ dữ liệu có thể phổ biến đối với người dùng hoặc doanh nghiệp vì một số lý do, như đối với tính năng “hiển thị mật khẩu” của trình duyệt vì nó thực sự hữu ích cho người dùng, do vậy chúng có khả năng được bật và làm lộ dữ liệu mà người dùng không biết.
Việc để lộ mật khẩu cũng xảy ra như một "tương tác ngoài ý muốn" giữa tính năng kiểm tra chính tả của trình duyệt và một trang web, khiến nó trở thành thứ có thể dễ dàng bị bỏ qua. Walter Hoehn, Phó chủ tịch kỹ thuật của Otto-js chia sẻ rằng: “Các tính năng kiểm tra chính tả nâng cao trong Chrome và Edge là một trong những nâng cấp hữu ích đáng kể so với các trình duyệt khác. Cũng như đối với các trang web cung cấp tùy chọn hiển thị mật khẩu, rõ ràng khi có những chức năng này người dùng sẽ dễ sử dụng hơn, đặc biệt là đối với những người khuyết tật".
Ngay cả khi một trang web hoặc dịch vụ không khắc phục được sự cố thì các doanh nghiệp có thể giảm thiểu rủi ro chia sẻ PII của khách hàng khi đã nhập thông tin vào các biểu mẫu bằng cách thêm "spellcheck = false" vào tất cả các trường đầu vào, mặc dù điều này có thể gây ra một số vấn đề cho người dùng. Ngoài ra, trang web của các doanh nghiệp có thể loại bỏ tính năng "hiển thị mật khẩu" trong biểu mẫu của mình.
Theo Otto-JS, các công ty cũng có thể giảm thiểu khả năng hiển thị mật khẩu của các tài khoản thuộc sở hữu của công ty bằng cách thực hiện các biện pháp phòng ngừa bảo mật điểm cuối, vô hiệu hóa các tính năng kiểm tra chính tả nâng cao và hạn chế nhân viên cài đặt các tiện ích mở rộng trình duyệt chưa được phê duyệt. Các nhà nghiên cứu cho biết thêm, người dùng có thể giảm thiểu rủi ro gửi dữ liệu của họ đến Microsoft và Google bằng cách truy cập trình duyệt và vô hiệu hóa tính năng kiểm tra lỗi chính tả.
Dương Trường
(theo darkreading)
10:00 | 28/12/2022
13:00 | 22/09/2022
16:00 | 08/03/2024
16:00 | 06/09/2022
14:00 | 21/11/2022
22:00 | 15/08/2022
14:00 | 22/06/2023
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024
