Gmail帐户中的电子邮件和其他数据公开
由于Chrome的脆弱扩展,一名安全研究人员成功地获得了Google员工的电子邮件,客户数据和其他敏感信息的访问。
研究员罗扬·里哈尔(Rojan Rijal)成功地执行了盲人跨站脚本((XSS)对G Suite员工的错误在被要求审判“使用Google”服务的“雇用”之后。
G套房管理员Rijal收到了销售团队员工的电子邮件,并决定尝试运气来发送盲人XSS,这反过来又获得了回报。
他在演示新服务的表格中填写了博客文章,并以他的名字插入了盲人XSS有效载荷。
几个小时后,他意识到它已经处决了 - 让Rijal访问员工与同事之间的电子邮件。
他还访问了填写详细信息以试用或购买服务的其他G套房用户的数据。
Rijal说,他能够查看其他“敏感信息”,他没有透露其性质。
Rijal告诉每日swbeplay2018官网ig:“最初,当我发现它时,我不确定它是否有效,因为我认为它可能是假的。
“然后我意识到这是一封执行该电子邮件的 @google.com电子邮件。因此,我感到兴奋并提交了报告。”
脆弱的扩展
与Google联系后,这家科技巨头的安全团队与Rijal合作,以确定问题的原因。
他们发现脆弱性在于员工正在使用的铬延长。
Rijal说:“起初,我不确定XSS如何在mail.google.com上执行,但是Google在奖励赏金时非常透明。”
他补充说:“我对Google的回应感到满意。”
这个最新的漏洞是为什么使用浏览器扩展程序时用户应保持警惕的另一个示例。
因为虽然浏览器扩展名对于许多安全爱好者和计算机用户都可以是方便而重要的工具,但它们也可以怀有恶意代码。
以时尚的浏览器为例最近发现在将用户出售给Web Analytics Company后,跟踪用户的互联网使用情况。beplay体育能用吗
Rijal告诉每日swbeplay2018官网ig:“老实说,我认为浏览器扩展可以同时成为好和坏。
“考虑到那里有多少个插件,除非您决定检查其代码并在安装之前对其进行审查,否则您永远无法确定哪个插件更安全。
“一件事可以肯定,人们必须注意的是扩展程序,这些扩展已有权修改您访问的网站。beplay体育能用吗
“即使该网站可能是安全的,因为扩展程序可以修改其内容,但您将距离被PWNEND距离。”
