Thông tin người dùng có thể bị đánh cắp chỉ vì 1 tính năng của Google Chrome và Microsoft Edge

Gần đây, Nhóm Nghiên cứu otto-js đã đăng tải một báo cáo liên quan đến tính năng chính tả nâng cao của Google Chrome hoặc Microsoft Edge. Cụ thể, nó có thể vô tình truyền thông tin nhận dạng cá nhân (PII) và mật khẩu đến các máy chủ đám mây bên thứ ba. Lỗ hổng bảo mật không chỉ khiến thông tin cá nhân người dùng gặp rủi ro, mà còn nguy cơ lưu lại thông tin xác thực quản trị của tổ chức, thông tin cơ cở hạ tầng bị lộ lọt ra ngoài 1 cách trái phép.

Lỗ hổng này được phát hiện bởi đồng sáng lập Josh Summit, Giám đốc Kỹ thuật (CTO) của otto-js. Trong quá trình thử nghiệm khả năng phát hiện hành vi tập lệnh của công ty, Summit và nhóm otto-js nhận thấy sự kết hợp của tính năng kiểm tra chính tả nâng cao trên Chrome hay MS Editor của Edge, có thể vô tình làm lộ dữ liệu trường chứa PII cùng nhiều thông tin nhạy cảm khác. Cả hai tính năng đều yêu cầu người dùng thực hiện hành động rõ ràng để kích hoạt chúng và sau khi được kích hoạt, người dùng thường không biết dữ liệu đang được chia sẻ với các bên thứ ba.

Ngoài dữ liệu trong trường nhập, nhóm otto-js cũng phát hiện mật khẩu người dùng có thể bị lộ thông qua tùy chọn xem mật khẩu. Tùy chọn này nhằm hỗ trợ người dùng trong việc đảm bảo mật khẩu không bị nhập sai, nhưng lại vô tình làm lộ mật khẩu cho máy chủ bên thứ ba thông qua chức năng kiểm tra chính tả nâng cao.

Người dùng cá nhân không phải là đối tượng duy nhất gặp rủi ro. Lỗ hổng bảo mật này có thể khiến nhiều tổ chức doanh nghiệp bị xâm phạm thông tin đăng nhập trái phép từ các bên thứ ba. Nhóm otto-js đã cung cấp những ví dụ để chứng minh việc người dùng đăng nhập vào các dịch vụ đám mây, tài khoản cơ sở hạ tầng, hoàn toàn có thể khiến thông tin xác thực truy cập tài khoản vô tình được chuyển đến máy chủ của Microsoft hoặc Google.

Hình ảnh đầu tiên đại diện cho 1 lần đăng nhập Alibaba Cloud Account mẫu. Khi đăng nhập qua Chrome, chức năng kiểm tra chính tả nâng cao sẽ chuyển thông tin yêu cầu đến máy chủ dựa trên Google mà không cần ủy quyền từ quản trị viên. Như trong ảnh chụp màn hình bên dưới, thông tin yêu cầu này gồm mật khẩu thực để đăng nhập vào đám mây của công ty. Việc truy cập vào loại thông tin này có thể khiến dữ liệu khách hàng và công ty bị đánh cắp, xâm phạm nghiêm trọng đối với cơ sở hạ tầng.

Nhóm otto-js đã tiến hành thử nghiệm và phân tích trên nhiều nhóm kiểm soát tập trung vào mạng xã hội, công cụ văn phòng, chăm sóc sức khỏe, chính phủ, thương mại điện tử và dịch vụ ngân hàng/tài chính. Hơn 96% trong số 30 nhóm kiểm soát đã gửi dữ liệu trở lại Microsoft và Google. 73% trong số các trang web và nhóm được thử nghiệm đó lại gửi mật khẩu đến máy chủ bên thứ ba khi kích hoạt tùy chọn hiển thị mật khẩu.

Nhóm otto-js đã liên hệ với Microsoft 365, Alibaba Cloud, Google Cloud, AWS và LastPass, đại diện cho 5 trang web và nhà cung cấp dịch vụ đám mây hàng đầu. Theo các cập nhật từ otto-js, cả AWS lẫn LastPass đều đã phản hồi. cho biết rằng sự cố đã được khắc phục thành công.