דיגיטל וטק
הקלדתם סיסמה בדפדפנים של גוגל או מיקרוסופט? היא דלפה!
שתי החברות הגדולות בעולם מעבירות את כל המידע האישי שמקלידים המשתמשים בדפדפנים שלהן – שמות משתמש, כתובות מייל, מספרי כרטיסי אשראי ואפילו סיסמאות – כטקסט פשוט ל"בדיקה". למה הן עושות את זה ומה אפשר לעשות כדי למנוע את זה?
אם אתם גולשים בדפדפנים של גוגל או מיקרוסופט, או בכל דפדפן אחר שעליו מותקן תוסף או כלי לבדיקת איות – ייתכן שכל הפרטים האישיים שלכם, כולל הסיסמאות שאתם משתמשים בהם כדי להתחבר לאתרים, חשופים בפני גורמי צד שלישי.
חברת אבטחת המידע otto חשפה בימים האחרונים פרצת אבטחה ענקית שמקורה בשירותים שמספקים שני הדפדפנים הגדולים ביותר למחשבים – כרום של גוגל ואדג' של מיקרוסופט. שירותי בדיקת האיות של שתי החברות – בדיקת האיות המתקדמת של גוגל וה-Editor של מיקרוסופט, המסייע גם באיות וגם בדקדוק, מקבלים גישה לכל שדות ההקלדה בכל אתר שבו המשתמשים גולשים – כולל אלו שבהם מקליד המשתמש את הסיסמא שלו להתחברות.
מייסד וסמנכ"ל הטכנולוגיה בחברה, ג'וש סאמיט, גילה את הבעיה במקרה בזמן שניסה להבין עד כמה החברה טובה בלזהות דליפת מידע דרך ג'אווה-סקריפט, שהוא סוג של רכיב אינטראקטיבי שחלק ניכר מהאינטרנט מבוסס עליו בצורה כזו או אחרת. הוא שם לב שהסקריפטים של בודקי האיות בדפדפנים של גוגל ומיקרוסופט – שהאחרון בהם זמין גם כתוסף לדפדפנים אחרים – שולחים לשתי החברות כל טקסט שמופיע בכל מקום שבו המשתמש יכול להקליד.
המידע שנשלח למיקרוסופט וגוגל בדרך הזה כולל שמות משתמש, כתובות מייל, תאריכי לידה, מספרי זהות ואפילו סיסמאות – לפחות אם המשתמש לוחץ על "הצג סיסמא", כדי לוודא שהוא הקליד אותה נכון.
לאחר הגילוי בדק צוות החברה 30 אתרים ב-6 קטגוריות, או 5 אתרים בכל קטגוריה, ומצא כי 96.7% מהם אכן שלחו כל מידע שהוקלד בשדות טקסט על כל עמוד לגוגל או למיקרוסופט. ה-3.3% הנותרים היה האתר של גוגל עצמה, שדווקא לא שלח לבודק האיות שלה את המידע שהוקלד בו. 73% מהאתרים שלחו סיסמאות כאשר המשתמש לחץ על "הצג" – והאחרים פשוט לא כללו אפשרות להציג את הסיסמא, ולכן הם לא יכלו לשלוח אותה כטקסט.
"מה שמטריד הוא כמה קלות התכונות הללו להפעלה ושרוב המשתמשים יפעילו אותן, מבלי להבין באמת מה קורה ברקע", אמר סאמיט. מגי לואי, מייסדת ומנכ"לית החברה, הוסיפה: "כמה מהתעשיות שבדקנו כללו תוכן למבוגרים ומשרדי אשראי. זה אולי לא מדאיג כשאנחנו מדברים על גוגל ומיקרוסופט, אך בידיים הלא נכונות, האם קורא טקסט או תוסף לדפדפן אם אותן יכולות עשוי לשמש למעקב מודע-הקשר?". כלומר – אם בודקי האיות של גוגל ומיקרוסופט מקבלים גישה לכל המידע הזה, אין שום מניעה שכל תוסף שהתקנו על הדפדפן יראה את המידע שהקלדנו וישלח אותו לכל מי שהוא רוצה.
בין האתרים שנבדקו נמנו אופיס 365 של מיקרוסופט, עליבבא, שירותי הענן של גוגל ואמזון וענקית ניהול הסיסמאות לאסטפאס. שתי האחרונות כבר הודיעו כי עדכנו את האתרים שלהן כדי למנוע מתוספים גישה לטקסט המוקלד בהם. עם זאת, ככל הנראה רובם המוחלט של האתרים בעולם עדיין פרוצים לחלוטין לגישה של תוספים כלל טקסט שהוקלד בהם.
בין האתרים שנבדקו נמנו אופיס 365 של מיקרוסופט, עליבבא, שירותי הענן של גוגל ואמזון וענקית ניהול הסיסמאות לאסטפאס. שתי האחרונות כבר הודיעו כי עדכנו את האתרים שלהן כדי למנוע מתוספים גישה לטקסט המוקלד בהם. עם זאת, ככל הנראה רובם המוחלט של האתרים בעולם עדיין פרוצים לחלוטין לגישה של תוספים כלל טקסט שהוקלד בהם.
עוד ב-
לכן, חשוב מאוד לכבות את "בודקי האיות" של הדפדפנים, לא להתקין תוספים שדורשים הרשאת גישה לטקסט מוקלד או לכל הפחות למנוע מהם הרשאה לכל האתרים. עדיף להשתמש בדפדפנים מאובטחים יותר, כמו ויוואלדי, שאינם כוללים את הכלים הללו.
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה
