Grammarly chứa lỗ hổng nghiêm trọng đánh cắp dữ liệu người dùng

Phần mềm kiểm tra chính tả Grammarly chứa lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công đánh cắp dữ liệu người dùng. Các chuyên gia bảo mật đã phát hiện lỗ hổng trong phần mở rộng trình duyệt Chrome và Firefox của phần mềm Grammarly, vô tình đưa 22 triệu tài khoản người dùng trong đó có tài liệu cá nhân và hồ sơ của họ dễ bị tin tặc tấn công.

Theo nhà nghiên cứu Tavis Ormandy từ Google Project Zero, người phát hiện ra lỗ hổng này vào ngày 2/2, trình mở rộng Chrome và Firefox của Grammarly có dấu hiệu xác thực cho tất cả trang web có thể bị hacker tấn công từ xa chỉ với 4 dòng mã JavaScript.

Nói một cách khác, bất kỳ trang web nào người dùng sử dụng để kiểm tra chính tả với Grammarly có thể bị đánh cắp các thẻ xác thực, đủ sức đăng nhập vào tài khoản của người dùng đồng thời truy cập tất cả tài liệu, lịch sử, nhật ký và tất cả các dữ liệu khác dù không được phép.

Ormandy cho rằng đây là một lỗi nghiêm trọng bởi nó xâm phạm nghiêm trọng quyền của người dùng. Ông cũng cung cấp một số bằng chứng về cách khai thác nhằm giải thích rằng người khác có thể dễ dàng kích hoạt lỗi nghiêm trọng này để đánh cắp thông tin truy cập của người dùng một cách dễ dàng.

Lỗ hổng ngay sau đó đã được vá lỗi bởi nhóm Grammarly trong tốc độ đáng kinh ngạc. Bản cập nhật bảo mật hiện có sẵn cho cả tiện ích mở rộng của Chrome và Firefox và trình duyệt sẽ tự động cập nhật mà không cần yêu cầu hành động nào của người dùng.

Xuân Dung