Dé hAoine, d'fhoilsigh an grúpa taighde otto-js alt faoi conas a úsáideann úsáideoirí ardghnéithe seiceála litrithe Google Chrome nó Microsoft Féadfaidh Edge, pasfhocail agus faisnéis inaitheanta phearsanta (PII) a tharchur i ngan fhios do fhreastalaithe scamall tríú páirtí. Ní hamháin go gcuireann an leochaileacht seo faisnéis phríobháideach an mheán-úsáideoir deiridh i mbaol, ach is féidir léi dintiúir riaracháin eagraíochta agus faisnéis eile a bhaineann le bonneagar a fhágáil neamhurraithe ag daoine ón taobh amuigh.
D'aimsigh comhbhunaitheoir otto-js agus CTO Josh Summitt an leochaileacht agus iad ag tástáil cumais braite iompraíochta scriptithe na cuideachta. Le linn tástála, fuair Samit agus an fhoireann otto-js amach gur nocht an meascán ceart gnéithe i seiceálaí litrithe feabhsaithe Chrome nó in Eagarthóir MS in Edge sonraí allamuigh ina raibh PII agus faisnéis íogair eile nuair a sheoltar ar ais chuig na freastalaithe iad. Microsoft agus Google. Éilíonn an dá ghné gníomhartha follasacha ó úsáideoirí chun iad a chumasú, agus nuair a bhíonn siad cumasaithe, is minic nach mbíonn úsáideoirí ar an eolas go bhfuil a gcuid sonraí á roinnt le tríú páirtithe.
Chomh maith leis na sonraí allamuigh, fuair an fhoireann otto-js amach freisin go bhféadfaí pasfhocail na n-úsáideoirí a nochtadh tríd an rogha breathnóir pasfhocail. Déanann an rogha seo, a chuideoidh le húsáideoirí pasfhocail a sheachaint go mícheart, an pasfhocal a nochtadh go neamhaireach do fhreastalaithe tríú páirtí trí ardghnéithe seiceála litrithe.
Ní hiad úsáideoirí aonair an t-aon pháirtí atá i mbaol. D'fhéadfadh tríú páirtithe neamhúdaraithe a bheith mar thoradh ar an leochaileacht sin. Chuir foireann otto-js na samplaí seo a leanas ar fáil a thaispeánann conas is féidir le húsáideoirí atá logáilte isteach i seirbhísí néil agus cuntais bhonneagair a gcuid dintiúir a tharchur chuig freastalaithe i ngan fhios dóibh Microsoft nó Google.
Taispeánann an chéad íomhá (thuas) sampla de logáil isteach i gcuntas Alibaba Cloud. Nuair a shíníonn tú isteach trí Chrome, cuireann an t-ardghné seiceála litrithe faisnéis faoi cheisteanna chuig freastalaithe Google gan cead riarthóir. Mar a fheiceann tú sa screenshot (thíos), cuimsíonn an fhaisnéis seo an focal faire iarbhír a chuirtear isteach chun logáil isteach i scamall na cuideachta. Is féidir aon rud a bheith mar thoradh ar rochtain ar an gcineál seo faisnéise, ó goid sonraí corparáideacha agus custaiméirí go comhréiteach iomlán an bhonneagair ríthábhachtach.
Rinne foireann otto-js tástáil agus anailís ar thagarmharcanna a dhírigh ar na meáin shóisialta, uirlisí oifige, cúram sláinte, rialtas, ríomhthráchtáil, agus seirbhísí baincéireachta/airgeadais. Sheol breis agus 96% de na 30 grúpa rialaithe a tástáladh sonraí ar ais chuig Microsoft agus Google. Sheol 73% de na suíomhanna agus de na grúpaí a ndearnadh tástáil orthu pasfhocail chuig freastalaithe tríú páirtí nuair a roghnaíodh an rogha taispeáin pasfhocal. Ní raibh an ghné ag na suíomhanna agus na seirbhísí sin nár sheol pasfhocail taispeáin pasfhocal agus níor ghá go raibh siad cosanta i gceart.
Chuaigh foireann otto-js i dteagmháil Microsoft 365, Alibaba Cloud, Google Cloud, AWS, agus LastPass, arb iad na cúig shuíomh is fearr agus soláthraithe seirbhíse scamall is mó atá i mbaol do chustaiméirí fiontair. De réir nuashonruithe slándála na cuideachta, d'fhreagair AWS agus LastPass cheana féin agus thuairiscigh siad go bhfuil an cheist socraithe go rathúil.
Is féidir leat cabhrú leis an Úcráin troid i gcoinne ionróirí na Rúise. Is é an bealach is fearr chun é seo a dhéanamh ná cistí a bhronnadh ar Fhórsaí Armtha na hÚcráine tríd Saol a shábháil nó tríd an leathanach oifigiúil NBU.
Léigh freisin:
Coinnigh socair, bain úsáid as Firefox
+