PALO ALTO, ຄາລິຟໍເນຍ, ສະຫະລັດອາເມລິກາ, ວັນທີ 30 ທັນວາ, 2024/CyberNewsWire/--SquareX, ການແກ້ໄຂການຊອກຄົ້ນຫາ ແລະຕອບສະໜອງຂອງຕົວທ່ອງເວັບ (BDR) ເປັນອຸດສາຫະກໍາທໍາອິດ, ເປັນຜູ້ນໍາທາງໃນຄວາມປອດໄພຂອງຕົວທ່ອງເວັບ.  ປະມານຫນຶ່ງອາທິດກ່ອນຫນ້ານີ້, SquareX  ການ​ໂຈມ​ຕີ​ຂະ​ໜາດ​ໃຫຍ່​ແນ​ໃສ່​ຜູ້​ພັດ​ທະ​ນາ Chrome Extension ທີ່​ແນ​ໃສ່​ຄອບ​ຄອງ Chrome Extension ຈາກ Chrome Store.   ລາຍງານ  ໃນວັນທີ 25 ເດືອນທັນວາ, 2024, ສະບັບທີ່ເປັນອັນຕະລາຍຂອງສ່ວນຂະຫຍາຍບຣາວເຊີຂອງ Cyberhaven ໄດ້ຖືກເຜີຍແຜ່ໃນ Chrome Store ທີ່ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດລັກລອບເອົາເຊດຊັນທີ່ຜ່ານການພິສູດຢືນຢັນ ແລະເອົາຂໍ້ມູນລັບອອກໄປ.  ໄດ້  ມີໃຫ້ດາວໂຫຼດຫຼາຍກວ່າ 30 ຊົ່ວໂມງກ່ອນທີ່ຈະຖືກເອົາອອກໂດຍ Cyberhaven. ບໍລິສັດປ້ອງກັນການສູນເສຍຂໍ້ມູນໄດ້ປະຕິເສດທີ່ຈະສະແດງຄວາມຄິດເຫັນກ່ຽວກັບຂອບເຂດຂອງຜົນກະທົບໃນເວລາທີ່ໄດ້ເຂົ້າຫາໂດຍຫນັງສືພິມ, ແຕ່ວ່າການຂະຫຍາຍດັ່ງກ່າວມີຜູ້ໃຊ້ຫຼາຍກວ່າ 400,000 ຄົນ.  ​ໃນ​ເວລາ​ໂຈມ​ຕີ.   ການຂະຫຍາຍທີ່ເປັນອັນຕະລາຍ   Chrome Store  ແຕ່ຫນ້າເສຍດາຍ, ການໂຈມຕີໄດ້ເກີດຂຶ້ນຍ້ອນວ່ານັກຄົ້ນຄວ້າຂອງ SquareX ໄດ້  ການໂຈມຕີທີ່ຄ້າຍຄືກັນກັບ a  ສະແດງໃຫ້ເຫັນເສັ້ນທາງການໂຈມຕີທັງຫມົດພຽງແຕ່ຫນຶ່ງອາທິດກ່ອນທີ່ຈະລະເມີດ Cyberhaven.   ກໍານົດ   ວິດີໂອ  ການໂຈມຕີເລີ່ມຕົ້ນດ້ວຍອີເມລ໌ phishing ປອມຕົວເປັນ Chrome Store ທີ່ມີການລະເມີດທີ່ຄາດໄວ້ວ່າ "ຂໍ້ຕົກລົງຂອງນັກພັດທະນາ", ຮຽກຮ້ອງໃຫ້ຜູ້ຮັບຍອມຮັບນະໂຍບາຍເພື່ອປ້ອງກັນບໍ່ໃຫ້ສ່ວນຂະຫຍາຍຂອງພວກເຂົາອອກຈາກ Chrome Store.  ເມື່ອຄລິກໃສ່ປຸ່ມນະໂຍບາຍ, ຜູ້ໃຊ້ໄດ້ຮັບການເຕືອນໃຫ້ເຊື່ອມຕໍ່ບັນຊີ Google ຂອງເຂົາເຈົ້າກັບ “ສ່ວນຂະຫຍາຍນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ”, ເຊິ່ງອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງແກ້ໄຂ, ອັບເດດ ແລະເຜີຍແຜ່ສ່ວນຂະຫຍາຍຢູ່ໃນບັນຊີຂອງຜູ້ພັດທະນາ.   Fig 1. ອີເມວ phishing ເປົ້າໝາຍນັກພັດທະນາສ່ວນຂະຫຍາຍ   ຮູບ 2. ສ່ວນຂະຫຍາຍນະໂຍບາຍຄວາມເປັນສ່ວນຕົວປອມຮ້ອງຂໍການເຂົ້າເຖິງ “ແກ້ໄຂ, ອັບເດດ ຫຼືເຜີຍແຜ່” ສ່ວນຂະຫຍາຍຂອງຜູ້ພັດທະນາ.  ສ່ວນຂະຫຍາຍໄດ້ກາຍເປັນວິທີທີ່ນິຍົມຫຼາຍຂຶ້ນສໍາລັບຜູ້ໂຈມຕີເພື່ອເຂົ້າເຖິງເບື້ອງຕົ້ນ.  ນີ້ແມ່ນຍ້ອນວ່າອົງການຈັດຕັ້ງສ່ວນໃຫຍ່ມີການຈໍາກັດ purview ກ່ຽວກັບສິ່ງທີ່ຂະຫຍາຍຕົວທ່ອງເວັບທີ່ພະນັກງານຂອງເຂົາເຈົ້າກໍາລັງໃຊ້. ເຖິງແມ່ນວ່າທີມງານຄວາມປອດໄພທີ່ເຂັ້ມງວດທີ່ສຸດໂດຍປົກກະຕິຈະບໍ່ຕິດຕາມການອັບເດດຕໍ່ມາເມື່ອສ່ວນຂະຫຍາຍຖືກບັນຊີຂາວ.  SquareX ໄດ້ດໍາເນີນການຄົ້ນຄ້ວາຢ່າງກວ້າງຂວາງແລະສະແດງໃຫ້ເຫັນຢູ່ທີ່  ວິທີການຂະຫຍາຍທີ່ສອດຄ່ອງກັບ MV3 ສາມາດຖືກໃຊ້ເພື່ອລັກເອົາຟີດສະຕຣີມວິດີໂອ, ເພີ່ມຜູ້ຮ່ວມມື GitHub ທີ່ງຽບ, ແລະລັກຄຸກກີ້ເຊສຊັນ, ແລະອື່ນໆ.   DEFCON 32,  ການໂຈມຕີສາມາດສ້າງສ່ວນຂະຫຍາຍທີ່ເບິ່ງຄືວ່າບໍ່ເປັນອັນຕະລາຍແລະຕໍ່ມາປ່ຽນມັນເຂົ້າໄປໃນການຕິດຕັ້ງທີ່ເປັນອັນຕະລາຍຫຼື, ດັ່ງທີ່ສະແດງໃຫ້ເຫັນໃນການໂຈມຕີຂ້າງເທິງ, ຫຼອກລວງຜູ້ພັດທະນາທີ່ຢູ່ເບື້ອງຫຼັງສ່ວນຂະຫຍາຍທີ່ເຊື່ອຖືໄດ້ເພື່ອໃຫ້ເຂົ້າເຖິງຫນຶ່ງທີ່ມີຜູ້ໃຊ້ຫຼາຍຮ້ອຍພັນຄົນແລ້ວ.  ໃນກໍລະນີຂອງ Cyberhaven, ຜູ້ໂຈມຕີສາມາດລັກເອົາຂໍ້ມູນປະຈໍາຕົວຂອງບໍລິສັດໃນທົ່ວເວັບໄຊທ໌ແລະແອັບຯເວັບຕ່າງໆໂດຍຜ່ານສ່ວນຂະຫຍາຍທີ່ເປັນອັນຕະລາຍ.  ເນື່ອງຈາກອີເມລ໌ຂອງຜູ້ພັດທະນາມີລາຍຊື່ສາທາລະນະຢູ່ໃນ Chrome Store, ມັນງ່າຍສຳລັບຜູ້ໂຈມຕີທີ່ຈະແນເປົ້າໝາຍໃສ່ຜູ້ພັດທະນາສ່ວນຂະຫຍາຍຫຼາຍພັນຄົນໃນເວລາດຽວກັນ.  ໂດຍທົ່ວໄປແລ້ວ ອີເມວເຫຼົ່ານີ້ຖືກໃຊ້ສຳລັບການລາຍງານຂໍ້ຜິດພາດ. ດັ່ງນັ້ນ, ເຖິງແມ່ນວ່າອີເມລ໌ສະຫນັບສະຫນູນທີ່ມີລາຍຊື່ສໍາລັບສ່ວນຂະຫຍາຍຈາກບໍລິສັດຂະຫນາດໃຫຍ່ແມ່ນມັກຈະຖືກສົ່ງໄປຫາຜູ້ພັດທະນາທີ່ອາດຈະບໍ່ມີລະດັບຄວາມຮັບຮູ້ດ້ານຄວາມປອດໄພທີ່ຕ້ອງການເພື່ອຊອກຫາຄວາມສົງໃສໃນການໂຈມຕີດັ່ງກ່າວ.  ອີງຕາມການເປີດເຜີຍການໂຈມຕີຂອງ SquareX ແລະການລະເມີດ Cyberhaven ທີ່ເກີດຂຶ້ນໃນໄລຍະເວລາຫນ້ອຍກວ່າສອງອາທິດ, ບໍລິສັດມີເຫດຜົນທີ່ເຂັ້ມແຂງທີ່ຈະເຊື່ອວ່າຜູ້ໃຫ້ບໍລິການຂະຫຍາຍຕົວທ່ອງເວັບອື່ນໆຈໍານວນຫຼາຍຖືກໂຈມຕີໃນທາງດຽວກັນ. SquareX ຮຽກຮ້ອງໃຫ້ບໍລິສັດແລະບຸກຄົນດຽວກັນດໍາເນີນການກວດກາຢ່າງລະມັດລະວັງກ່ອນທີ່ຈະຕິດຕັ້ງຫຼືປັບປຸງສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບ.   Fig 3. ລາຍລະອຽດການຕິດຕໍ່ຂອງຜູ້ພັດທະນາສ່ວນຂະຫຍາຍແມ່ນມີໃຫ້ສາທາລະນະຢູ່ໃນ Chrome Store  ທີມງານ SquareX ເຂົ້າໃຈວ່າມັນສາມາດບໍ່ເປັນເລື່ອງເລັກໆນ້ອຍໆທີ່ຈະປະເມີນແລະຕິດຕາມທຸກໆສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບໃນການເຮັດວຽກຢູ່ໃນບັນດາບູລິມະສິດດ້ານຄວາມປອດໄພທີ່ແຂ່ງຂັນ, ໂດຍສະເພາະໃນເວລາທີ່ການໂຈມຕີສູນ.  ດັ່ງທີ່ໄດ້ສະແດງໃຫ້ເຫັນໃນ  , ແອັບນະໂຍບາຍຄວາມເປັນສ່ວນຕົວປອມທີ່ກ່ຽວຂ້ອງກັບການລະເມີດຂອງ Cyberhaven ບໍ່ໄດ້ຖືກກວດພົບໂດຍຟີດໄພຂົ່ມຂູ່ທີ່ເປັນທີ່ນິຍົມ.   ວິດີໂອ  ເອົາຄວາມສັບສົນນີ້ອອກຈາກທີມງານຄວາມປອດໄພໂດຍ:   ການແກ້ໄຂການຊອກຄົ້ນຫາ ແລະຕອບສະໜອງ (BDR) ຂອງຕົວທ່ອງເວັບ SquareX  ການຂັດຂວາງການໂຕ້ຕອບ OAuth ກັບເວັບໄຊທ໌ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດເພື່ອປ້ອງກັນບໍ່ໃຫ້ພະນັກງານບໍ່ໃຫ້ຜູ້ໂຈມຕີໂດຍບັງເອີນເຂົ້າເຖິງບັນຊີ Chrome Store ຂອງທ່ານໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ.  ການຂັດຂວາງ ແລະ/ຫຼືການລາຍງານການອັບເດດສ່ວນຂະຫຍາຍທີ່ໜ້າສົງໄສທີ່ມີການອະນຸຍາດໃໝ່, ມີຄວາມສ່ຽງ  ການຂັດຂວາງ ແລະ/ຫຼື ການລາຍງານສ່ວນຂະຫຍາຍທີ່ໜ້າສົງໄສ ທີ່ມີການທົບທວນຄືນທາງລົບເພີ່ມຂຶ້ນ  ການຂັດຂວາງ ແລະ/ຫຼື ການຕິດທຸງການຕິດຕັ້ງສ່ວນຂະຫຍາຍທີ່ຕິດຂັດ  ປັບປຸງການຮ້ອງຂໍການຕິດຕັ້ງສ່ວນຂະຫຍາຍທັງໝົດຢູ່ນອກລາຍຊື່ທີ່ໄດ້ຮັບອະນຸຍາດເພື່ອອະນຸມັດໄວໂດຍອີງໃສ່ນະໂຍບາຍຂອງບໍລິສັດ  ການເບິ່ງເຫັນຢ່າງເຕັມທີ່ກ່ຽວກັບສ່ວນຂະຫຍາຍທັງໝົດທີ່ຕິດຕັ້ງ ແລະໃຊ້ໂດຍພະນັກງານໃນທົ່ວອົງການ  ຜູ້ກໍ່ຕັ້ງ SquareX  ເຕືອນວ່າ: “ການໂຈມຕີຕົວຕົນທີ່ແນເປົ້າໝາຍໃສ່ສ່ວນຂະຫຍາຍຂອງບຣາວເຊີທີ່ຄ້າຍຄືກັບການໂຈມຕີ OAuth ນີ້ຈະກາຍເປັນທີ່ແຜ່ຫຼາຍຍ້ອນວ່າພະນັກງານອາໄສເຄື່ອງມືທີ່ອີງໃສ່ຕົວທ່ອງເວັບຫຼາຍຂຶ້ນເພື່ອໃຫ້ໄດ້ຜົນໃນບ່ອນເຮັດວຽກ. ຕົວແປທີ່ຄ້າຍຄືກັນຂອງການໂຈມຕີເຫຼົ່ານີ້ໄດ້ຖືກນໍາໃຊ້ໃນອະດີດເພື່ອລັກຂໍ້ມູນຄລາວຈາກແອັບຯຕ່າງໆເຊັ່ນ Google Drive ແລະ One Drive ແລະພວກເຮົາຈະເຫັນພຽງແຕ່ຜູ້ໂຈມຕີມີຄວາມຄິດສ້າງສັນໃນການຂຸດຄົ້ນສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບ. ບໍລິສັດຕ້ອງມີຄວາມລະມັດລະວັງແລະຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ລະບົບຕ່ອງໂສ້ການສະຫນອງຂອງພວກເຂົາໂດຍບໍ່ມີການຂັດຂວາງການຜະລິດຂອງພະນັກງານໂດຍການໃຫ້ພວກເຂົາມີເຄື່ອງມືພື້ນເມືອງຂອງຕົວທ່ອງເວັບທີ່ເຫມາະສົມ."   Vivek Ramachandran  ກ່ຽວກັບ SquareX:  ຊ່ວຍໃຫ້ອົງການຈັດຕັ້ງກວດພົບ, ຫຼຸດຜ່ອນ, ແລະຂົ່ມຂູ່ຕໍ່ການໂຈມຕີເວັບຂອງລູກຄ້າທີ່ເກີດຂື້ນກັບຜູ້ໃຊ້ຂອງພວກເຂົາໃນເວລາຈິງ.   SquareX  ການແກ້ໄຂການຊອກຄົ້ນຫາ ແລະຕອບສະໜອງ (BDR) ຄັ້ງທໍາອິດໃນອຸດສາຫະກໍາຂອງ SquareX, ໃຊ້ວິທີການທີ່ເນັ້ນໃສ່ການໂຈມຕີເພື່ອຄວາມປອດໄພຂອງຕົວທ່ອງເວັບ, ໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ວິສາຫະກິດໄດ້ຮັບການປົກປ້ອງຈາກໄພຂົ່ມຂູ່ຂັ້ນສູງເຊັ່ນ: ລະຫັດ QR ທີ່ເປັນອັນຕະລາຍ, ການຫຼອກເອົາຂໍ້ມູນຂອງຕົວທ່ອງເວັບໃນຕົວທ່ອງເວັບ, malware ທີ່ອີງໃສ່ມະຫາພາກ, ແລະການໂຈມຕີເວັບອື່ນໆທີ່ກວມເອົາໄຟລ໌ທີ່ເປັນອັນຕະລາຍ, ເວັບໄຊທ໌, scripts, ແລະເຄືອຂ່າຍທີ່ຖືກທໍາລາຍ.  ດ້ວຍ SquareX, ວິສາຫະກິດສາມາດໃຫ້ຜູ້ຮັບເຫມົາແລະຜູ້ອອກແຮງງານຫ່າງໄກສອກຫຼີກທີ່ມີການເຂົ້າເຖິງຄໍາຮ້ອງສະຫມັກພາຍໃນຢ່າງປອດໄພ, ແລະ SaaS ວິສາຫະກິດ, ແລະປ່ຽນຕົວທ່ອງເວັບໃນ BYOD / ອຸປະກອນທີ່ບໍ່ໄດ້ຈັດການເຂົ້າໄປໃນກອງປະຊຸມຄົ້ນຫາທີ່ເຊື່ອຖືໄດ້.  ຕິດຕໍ່  ຫົວຫນ້າ PR  Junice Liew  SquareX  junice@sqrx.com  ເລື່ອງນີ້ໄດ້ຖືກແຈກຢາຍເປັນການປ່ອຍໂດຍ Cybernewswire ພາຍໃຕ້ໂຄງການບລັອກທຸລະກິດຂອງ HackerNoon. ຮຽນຮູ້ເພີ່ມເຕີມກ່ຽວກັບໂຄງການ   ທີ່ນີ້

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

ສຽງນີ້ຖືກຜະລິດເປັນພາສາຕົ້ນສະບັບຂອງເລື່ອງ!

ຍາວເກີນໄປ; ອ່ານ

Download free Tech Leaders Productivity Report!

ນັກຄົ້ນຄວ້າ SquareX ເປີດເຜີຍການໂຈມຕີ OAuth ກ່ຽວກັບ Chrome Extensions ມື້ກ່ອນການລະເມີດທີ່ສໍາຄັນ

About Author

ຄຳເຫັນ

ວາງປ້າຍ

ບົດຄວາມນີ້ໄດ້ຖືກນໍາສະເຫນີໃນ

Related Stories

Meet Surfshark: HackerNoon Company of the Week

What's the History Behind the HackerNoon Logo?

On Building HackerNoon's Pixel Icon Library

One-Tap Google Signup and Login? Yup, HackerNoon Has It!

Meet Surfshark: HackerNoon Company of the Week

What's the History Behind the HackerNoon Logo?

On Building HackerNoon's Pixel Icon Library

One-Tap Google Signup and Login? Yup, HackerNoon Has It!

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps