Development

Security
lek

Datalek dankzij extensie voor spellingcontrole

Documenten van alle 22 miljoen Grammarly-gebruikers waren open en bloot toegankelijk voor andere websites die zij bezochten. Een datalek door spellingscontrole.

6 februari 2018

Documenten van alle 22 miljoen Grammarly-gebruikers waren open en bloot toegankelijk voor andere websites die zij bezochten. Een datalek door spellingscontrole.

Slechte authenticatie door de browserextensie Grammarly gaf andere websites toegang tot documenten die gebruikers op spelling lieten controleren. Ook geschiedenis, logs en andere gebruikersgegevens konden hierdoor uitlekken.

Het veelgebruikte Grammarly is een extensie voor webbrowsers waarmee eindgebruikers hun teksten kunnen laten controleren op spelling, grammatica en plagiaat. De bekende security-onderzoeker Tavis Ormandy heeft een beveiligingsgat gevonden waardoor de documenten van alle 22 miljoen gebruikers uitlekken. Hij heeft dit gemeld aan Grammarly die vervolgens snel een fix heeft gemaakt en gelijk doorgevoerd.

Google's gatenjagers

Vervolgens is de kwetsbaarheid geopenbaard door Ormandy, die zijn securitywerk verricht als lid van Google's speciale team Project Zero dat gaten opspoort om die te laten dichten. "Ik probeer de meest populaire Chrome-extensies te bekijken wanneer ik kan", stelt de gatenjager in een tweet. Grammarly telt zo'n 22 miljoen gebruikers en is beschikbaar voor Chrome, maar ook voor de kleinere browser Firefox en zelfs het weinig gebruikte Edge in Windows 10.

De ontwikkelaars van deze browserextensie hadden het authenticatie-token voor hun dienst niet goed op orde, waardoor deze toegankelijk waren voor andere websites. Dit betekende dat elke bezochte site kon inloggen op het Grammarly-account van gebruikers om daar alle informatie inclusief documenten buit te maken. De nu gefixte extensie is gratis voor gewone gebruikers, maar de aanbieder hanteert een betaald model voor zakelijke gebruikers.

Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.