Datalek dankzij extensie voor spellingcontrole
Slechte authenticatie door de browserextensie Grammarly gaf andere websites toegang tot documenten die gebruikers op spelling lieten controleren. Ook geschiedenis, logs en andere gebruikersgegevens konden hierdoor uitlekken.
Het veelgebruikte Grammarly is een extensie voor webbrowsers waarmee eindgebruikers hun teksten kunnen laten controleren op spelling, grammatica en plagiaat. De bekende security-onderzoeker Tavis Ormandy heeft een beveiligingsgat gevonden waardoor de documenten van alle 22 miljoen gebruikers uitlekken. Hij heeft dit gemeld aan Grammarly die vervolgens snel een fix heeft gemaakt en gelijk doorgevoerd.
Google's gatenjagers
Vervolgens is de kwetsbaarheid geopenbaard door Ormandy, die zijn securitywerk verricht als lid van Google's speciale team Project Zero dat gaten opspoort om die te laten dichten. "Ik probeer de meest populaire Chrome-extensies te bekijken wanneer ik kan", stelt de gatenjager in een tweet. Grammarly telt zo'n 22 miljoen gebruikers en is beschikbaar voor Chrome, maar ook voor de kleinere browser Firefox en zelfs het weinig gebruikte Edge in Windows 10.
De ontwikkelaars van deze browserextensie hadden het authenticatie-token voor hun dienst niet goed op orde, waardoor deze toegankelijk waren voor andere websites. Dit betekende dat elke bezochte site kon inloggen op het Grammarly-account van gebruikers om daar alle informatie inclusief documenten buit te maken. De nu gefixte extensie is gratis voor gewone gebruikers, maar de aanbieder hanteert een betaald model voor zakelijke gebruikers.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee