Wtyczka
0

Popularna wtyczka do Chrome pozwalała na dostęp do dokumentów jej 22 mln. użytkowników

Kolejny tydzień przynosi nam informacje o kolejnej wpadce (i możliwym wycieku). Niestety — dla użytkowników wtyczki Grammarly nie mam najlepszych wiadomości, chyba że korzystali tylko z jej najpopularniejszych możliwości.

Grammarly prawdopodobnie nie należy do najpopularniejszych wtyczek w Polsce. To niewielki dodatek, którego celem jest pomóc użytkownikom poprawić wszelkie gramatyczne wpadki i niedopatrzenia, ale… po angielsku. I choć nie jest to rzecz, którą znajdziemy u każdego — to istnieje duża szansa, że wielu piszących po angielsku ma ją u siebie. To w końcu jeden z tłumnie polecanych dodatków, który faktycznie efektywnie pozwala pracować nad tekstami. Nie tylko wyłapuje literówki, ale też analizuje całe zdania i wskazuje np. słowa czy całe frazy, których użyliśmy w złym kontekście. I poza dodatkiem do wpisów w formularzach, rozszerzenie ma także edytor, który pozwala wygodnie i efektywnie edytować nawet dłuższe teksty. No i to on odpowiedzialny jest za całe to zamieszanie.

„Pełna” wersja aplikacji, przeznaczona głównie do pracy z dokumentami, przez kilka tygodni miała niezałataną dziurę, która… pozwalała każdemu na dostęp do załadowanych tam dokumentów. No, każdemu, kto wiedział jak tam się dostać — w praktyce jednak nie było żadnej ochrony i można powiedzieć, że wszystko było… właściwie publiczne. Specjalista od bezpieczeństwa z Google — pomijając technikalia — twierdzi, że ta dziura równoznaczna była z oddaniem naszego loginu oraz hasła domenie publicznej. Z auth tokenami które były dostępne, można było się zalogować na kogokolwiek i… mieć dostęp do wszystkich zgromadzonych tam dokumentów. Na szczęście przez charakter wpadki, nie dotyczy ona wpisów sprawdzanych „w locie”.

Po odnalezieniu luki od razu powiadomiono o niej autorów, którzy w mgnieniu oka wprowadzili poprawki. Mimo wszystko to kolejny dowód na to, że warto stosować zasadę ograniczonego zaufania, bo tak naprawdę nigdy nie wiemy, jak bezpieczne są nasze dane.

Źródło