PALO ALTO, ຄາລິຟໍເນຍ, ສະຫະລັດອາເມລິກາ, ວັນທີ 30 ທັນວາ, 2024/CyberNewsWire/--SquareX, ການແກ້ໄຂການຊອກຄົ້ນຫາ ແລະຕອບສະໜອງຂອງຕົວທ່ອງເວັບ (BDR) ເປັນອຸດສາຫະກໍາທໍາອິດ, ເປັນຜູ້ນໍາທາງໃນຄວາມປອດໄພຂອງຕົວທ່ອງເວັບ.  ປະມານຫນຶ່ງອາທິດກ່ອນຫນ້ານີ້, SquareX  ການ​ໂຈມ​ຕີ​ຂະ​ໜາດ​ໃຫຍ່​ແນ​ໃສ່​ຜູ້​ພັດ​ທະ​ນາ Chrome Extension ທີ່​ແນ​ໃສ່​ຄອບ​ຄອງ Chrome Extension ຈາກ Chrome Store.   ລາຍງານ  ໃນວັນທີ 25 ເດືອນທັນວາ, 2024, ສະບັບທີ່ເປັນອັນຕະລາຍຂອງສ່ວນຂະຫຍາຍບຣາວເຊີຂອງ Cyberhaven ໄດ້ຖືກເຜີຍແຜ່ໃນ Chrome Store ທີ່ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດລັກລອບເອົາເຊດຊັນທີ່ຜ່ານການພິສູດຢືນຢັນ ແລະເອົາຂໍ້ມູນລັບອອກໄປ.  ໄດ້  ມີໃຫ້ດາວໂຫຼດຫຼາຍກວ່າ 30 ຊົ່ວໂມງກ່ອນທີ່ຈະຖືກເອົາອອກໂດຍ Cyberhaven. ບໍລິສັດປ້ອງກັນການສູນເສຍຂໍ້ມູນໄດ້ປະຕິເສດທີ່ຈະສະແດງຄວາມຄິດເຫັນກ່ຽວກັບຂອບເຂດຂອງຜົນກະທົບໃນເວລາທີ່ໄດ້ເຂົ້າຫາໂດຍຫນັງສືພິມ, ແຕ່ວ່າການຂະຫຍາຍດັ່ງກ່າວມີຜູ້ໃຊ້ຫຼາຍກວ່າ 400,000 ຄົນ.  ​ໃນ​ເວລາ​ໂຈມ​ຕີ.   ການຂະຫຍາຍທີ່ເປັນອັນຕະລາຍ   Chrome Store  ແຕ່ຫນ້າເສຍດາຍ, ການໂຈມຕີໄດ້ເກີດຂຶ້ນຍ້ອນວ່ານັກຄົ້ນຄວ້າຂອງ SquareX ໄດ້  ການໂຈມຕີທີ່ຄ້າຍຄືກັນກັບ a  ສະແດງໃຫ້ເຫັນເສັ້ນທາງການໂຈມຕີທັງຫມົດພຽງແຕ່ຫນຶ່ງອາທິດກ່ອນທີ່ຈະລະເມີດ Cyberhaven.   ກໍານົດ   ວິດີໂອ  ການໂຈມຕີເລີ່ມຕົ້ນດ້ວຍອີເມລ໌ phishing ປອມຕົວເປັນ Chrome Store ທີ່ມີການລະເມີດທີ່ຄາດໄວ້ວ່າ "ຂໍ້ຕົກລົງຂອງນັກພັດທະນາ", ຮຽກຮ້ອງໃຫ້ຜູ້ຮັບຍອມຮັບນະໂຍບາຍເພື່ອປ້ອງກັນບໍ່ໃຫ້ສ່ວນຂະຫຍາຍຂອງພວກເຂົາອອກຈາກ Chrome Store.  ເມື່ອຄລິກໃສ່ປຸ່ມນະໂຍບາຍ, ຜູ້ໃຊ້ໄດ້ຮັບການເຕືອນໃຫ້ເຊື່ອມຕໍ່ບັນຊີ Google ຂອງເຂົາເຈົ້າກັບ “ສ່ວນຂະຫຍາຍນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ”, ເຊິ່ງອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງແກ້ໄຂ, ອັບເດດ ແລະເຜີຍແຜ່ສ່ວນຂະຫຍາຍຢູ່ໃນບັນຊີຂອງຜູ້ພັດທະນາ.   Fig 1. ອີເມວ phishing ເປົ້າໝາຍນັກພັດທະນາສ່ວນຂະຫຍາຍ   ຮູບ 2. ສ່ວນຂະຫຍາຍນະໂຍບາຍຄວາມເປັນສ່ວນຕົວປອມຮ້ອງຂໍການເຂົ້າເຖິງ “ແກ້ໄຂ, ອັບເດດ ຫຼືເຜີຍແຜ່” ສ່ວນຂະຫຍາຍຂອງຜູ້ພັດທະນາ.  ສ່ວນຂະຫຍາຍໄດ້ກາຍເປັນວິທີທີ່ນິຍົມຫຼາຍຂຶ້ນສໍາລັບຜູ້ໂຈມຕີເພື່ອເຂົ້າເຖິງເບື້ອງຕົ້ນ.  ນີ້ແມ່ນຍ້ອນວ່າອົງການຈັດຕັ້ງສ່ວນໃຫຍ່ມີການຈໍາກັດ purview ກ່ຽວກັບສິ່ງທີ່ຂະຫຍາຍຕົວທ່ອງເວັບທີ່ພະນັກງານຂອງເຂົາເຈົ້າກໍາລັງໃຊ້. ເຖິງແມ່ນວ່າທີມງານຄວາມປອດໄພທີ່ເຂັ້ມງວດທີ່ສຸດໂດຍປົກກະຕິຈະບໍ່ຕິດຕາມການອັບເດດຕໍ່ມາເມື່ອສ່ວນຂະຫຍາຍຖືກບັນຊີຂາວ.  SquareX ໄດ້ດໍາເນີນການຄົ້ນຄ້ວາຢ່າງກວ້າງຂວາງແລະສະແດງໃຫ້ເຫັນຢູ່ທີ່  ວິທີການຂະຫຍາຍທີ່ສອດຄ່ອງກັບ MV3 ສາມາດຖືກໃຊ້ເພື່ອລັກເອົາຟີດສະຕຣີມວິດີໂອ, ເພີ່ມຜູ້ຮ່ວມມື GitHub ທີ່ງຽບ, ແລະລັກຄຸກກີ້ເຊສຊັນ, ແລະອື່ນໆ.   DEFCON 32,  ການໂຈມຕີສາມາດສ້າງສ່ວນຂະຫຍາຍທີ່ເບິ່ງຄືວ່າບໍ່ເປັນອັນຕະລາຍແລະຕໍ່ມາປ່ຽນມັນເຂົ້າໄປໃນການຕິດຕັ້ງທີ່ເປັນອັນຕະລາຍຫຼື, ດັ່ງທີ່ສະແດງໃຫ້ເຫັນໃນການໂຈມຕີຂ້າງເທິງ, ຫຼອກລວງຜູ້ພັດທະນາທີ່ຢູ່ເບື້ອງຫຼັງສ່ວນຂະຫຍາຍທີ່ເຊື່ອຖືໄດ້ເພື່ອໃຫ້ເຂົ້າເຖິງຫນຶ່ງທີ່ມີຜູ້ໃຊ້ຫຼາຍຮ້ອຍພັນຄົນແລ້ວ.  ໃນກໍລະນີຂອງ Cyberhaven, ຜູ້ໂຈມຕີສາມາດລັກເອົາຂໍ້ມູນປະຈໍາຕົວຂອງບໍລິສັດໃນທົ່ວເວັບໄຊທ໌ແລະແອັບຯເວັບຕ່າງໆໂດຍຜ່ານສ່ວນຂະຫຍາຍທີ່ເປັນອັນຕະລາຍ.  ເນື່ອງຈາກອີເມລ໌ຂອງຜູ້ພັດທະນາມີລາຍຊື່ສາທາລະນະຢູ່ໃນ Chrome Store, ມັນງ່າຍສຳລັບຜູ້ໂຈມຕີທີ່ຈະແນເປົ້າໝາຍໃສ່ຜູ້ພັດທະນາສ່ວນຂະຫຍາຍຫຼາຍພັນຄົນໃນເວລາດຽວກັນ.  ໂດຍທົ່ວໄປແລ້ວ ອີເມວເຫຼົ່ານີ້ຖືກໃຊ້ສຳລັບການລາຍງານຂໍ້ຜິດພາດ. ດັ່ງນັ້ນ, ເຖິງແມ່ນວ່າອີເມລ໌ສະຫນັບສະຫນູນທີ່ມີລາຍຊື່ສໍາລັບສ່ວນຂະຫຍາຍຈາກບໍລິສັດຂະຫນາດໃຫຍ່ແມ່ນມັກຈະຖືກສົ່ງໄປຫາຜູ້ພັດທະນາທີ່ອາດຈະບໍ່ມີລະດັບຄວາມຮັບຮູ້ດ້ານຄວາມປອດໄພທີ່ຕ້ອງການເພື່ອຊອກຫາຄວາມສົງໃສໃນການໂຈມຕີດັ່ງກ່າວ.  ອີງຕາມການເປີດເຜີຍການໂຈມຕີຂອງ SquareX ແລະການລະເມີດ Cyberhaven ທີ່ເກີດຂຶ້ນໃນໄລຍະເວລາຫນ້ອຍກວ່າສອງອາທິດ, ບໍລິສັດມີເຫດຜົນທີ່ເຂັ້ມແຂງທີ່ຈະເຊື່ອວ່າຜູ້ໃຫ້ບໍລິການຂະຫຍາຍຕົວທ່ອງເວັບອື່ນໆຈໍານວນຫຼາຍຖືກໂຈມຕີໃນທາງດຽວກັນ. SquareX ຮຽກຮ້ອງໃຫ້ບໍລິສັດແລະບຸກຄົນດຽວກັນດໍາເນີນການກວດກາຢ່າງລະມັດລະວັງກ່ອນທີ່ຈະຕິດຕັ້ງຫຼືປັບປຸງສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບ.   Fig 3. ລາຍລະອຽດການຕິດຕໍ່ຂອງຜູ້ພັດທະນາສ່ວນຂະຫຍາຍແມ່ນມີໃຫ້ສາທາລະນະຢູ່ໃນ Chrome Store  ທີມງານ SquareX ເຂົ້າໃຈວ່າມັນສາມາດບໍ່ເປັນເລື່ອງເລັກໆນ້ອຍໆທີ່ຈະປະເມີນແລະຕິດຕາມທຸກໆສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບໃນການເຮັດວຽກຢູ່ໃນບັນດາບູລິມະສິດດ້ານຄວາມປອດໄພທີ່ແຂ່ງຂັນ, ໂດຍສະເພາະໃນເວລາທີ່ການໂຈມຕີສູນ.  ດັ່ງທີ່ໄດ້ສະແດງໃຫ້ເຫັນໃນ  , ແອັບນະໂຍບາຍຄວາມເປັນສ່ວນຕົວປອມທີ່ກ່ຽວຂ້ອງກັບການລະເມີດຂອງ Cyberhaven ບໍ່ໄດ້ຖືກກວດພົບໂດຍຟີດໄພຂົ່ມຂູ່ທີ່ເປັນທີ່ນິຍົມ.   ວິດີໂອ  ເອົາຄວາມສັບສົນນີ້ອອກຈາກທີມງານຄວາມປອດໄພໂດຍ:   ການແກ້ໄຂການຊອກຄົ້ນຫາ ແລະຕອບສະໜອງ (BDR) ຂອງຕົວທ່ອງເວັບ SquareX  ການຂັດຂວາງການໂຕ້ຕອບ OAuth ກັບເວັບໄຊທ໌ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດເພື່ອປ້ອງກັນບໍ່ໃຫ້ພະນັກງານບໍ່ໃຫ້ຜູ້ໂຈມຕີໂດຍບັງເອີນເຂົ້າເຖິງບັນຊີ Chrome Store ຂອງທ່ານໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ.  ການຂັດຂວາງ ແລະ/ຫຼືການລາຍງານການອັບເດດສ່ວນຂະຫຍາຍທີ່ໜ້າສົງໄສທີ່ມີການອະນຸຍາດໃໝ່, ມີຄວາມສ່ຽງ  ການຂັດຂວາງ ແລະ/ຫຼື ການລາຍງານສ່ວນຂະຫຍາຍທີ່ໜ້າສົງໄສ ທີ່ມີການທົບທວນຄືນທາງລົບເພີ່ມຂຶ້ນ  ການຂັດຂວາງ ແລະ/ຫຼື ການຕິດທຸງການຕິດຕັ້ງສ່ວນຂະຫຍາຍທີ່ຕິດຂັດ  ປັບປຸງການຮ້ອງຂໍການຕິດຕັ້ງສ່ວນຂະຫຍາຍທັງໝົດຢູ່ນອກລາຍຊື່ທີ່ໄດ້ຮັບອະນຸຍາດເພື່ອອະນຸມັດໄວໂດຍອີງໃສ່ນະໂຍບາຍຂອງບໍລິສັດ  ການເບິ່ງເຫັນຢ່າງເຕັມທີ່ກ່ຽວກັບສ່ວນຂະຫຍາຍທັງໝົດທີ່ຕິດຕັ້ງ ແລະໃຊ້ໂດຍພະນັກງານໃນທົ່ວອົງການ  ຜູ້ກໍ່ຕັ້ງ SquareX  ເຕືອນວ່າ: “ການໂຈມຕີຕົວຕົນທີ່ແນເປົ້າໝາຍໃສ່ສ່ວນຂະຫຍາຍຂອງບຣາວເຊີທີ່ຄ້າຍຄືກັບການໂຈມຕີ OAuth ນີ້ຈະກາຍເປັນທີ່ແຜ່ຫຼາຍຍ້ອນວ່າພະນັກງານອາໄສເຄື່ອງມືທີ່ອີງໃສ່ຕົວທ່ອງເວັບຫຼາຍຂຶ້ນເພື່ອໃຫ້ໄດ້ຜົນໃນບ່ອນເຮັດວຽກ. ຕົວແປທີ່ຄ້າຍຄືກັນຂອງການໂຈມຕີເຫຼົ່ານີ້ໄດ້ຖືກນໍາໃຊ້ໃນອະດີດເພື່ອລັກຂໍ້ມູນຄລາວຈາກແອັບຯຕ່າງໆເຊັ່ນ Google Drive ແລະ One Drive ແລະພວກເຮົາຈະເຫັນພຽງແຕ່ຜູ້ໂຈມຕີມີຄວາມຄິດສ້າງສັນໃນການຂຸດຄົ້ນສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບ. ບໍລິສັດຕ້ອງມີຄວາມລະມັດລະວັງແລະຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ລະບົບຕ່ອງໂສ້ການສະຫນອງຂອງພວກເຂົາໂດຍບໍ່ມີການຂັດຂວາງການຜະລິດຂອງພະນັກງານໂດຍການໃຫ້ພວກເຂົາມີເຄື່ອງມືພື້ນເມືອງຂອງຕົວທ່ອງເວັບທີ່ເຫມາະສົມ."   Vivek Ramachandran  ກ່ຽວກັບ SquareX:  ຊ່ວຍໃຫ້ອົງການຈັດຕັ້ງກວດພົບ, ຫຼຸດຜ່ອນ, ແລະຂົ່ມຂູ່ຕໍ່ການໂຈມຕີເວັບຂອງລູກຄ້າທີ່ເກີດຂື້ນກັບຜູ້ໃຊ້ຂອງພວກເຂົາໃນເວລາຈິງ.   SquareX  ການແກ້ໄຂການຊອກຄົ້ນຫາ ແລະຕອບສະໜອງ (BDR) ຄັ້ງທໍາອິດໃນອຸດສາຫະກໍາຂອງ SquareX, ໃຊ້ວິທີການທີ່ເນັ້ນໃສ່ການໂຈມຕີເພື່ອຄວາມປອດໄພຂອງຕົວທ່ອງເວັບ, ໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ວິສາຫະກິດໄດ້ຮັບການປົກປ້ອງຈາກໄພຂົ່ມຂູ່ຂັ້ນສູງເຊັ່ນ: ລະຫັດ QR ທີ່ເປັນອັນຕະລາຍ, ການຫຼອກເອົາຂໍ້ມູນຂອງຕົວທ່ອງເວັບໃນຕົວທ່ອງເວັບ, malware ທີ່ອີງໃສ່ມະຫາພາກ, ແລະການໂຈມຕີເວັບອື່ນໆທີ່ກວມເອົາໄຟລ໌ທີ່ເປັນອັນຕະລາຍ, ເວັບໄຊທ໌, scripts, ແລະເຄືອຂ່າຍທີ່ຖືກທໍາລາຍ.  ດ້ວຍ SquareX, ວິສາຫະກິດສາມາດໃຫ້ຜູ້ຮັບເຫມົາແລະຜູ້ອອກແຮງງານຫ່າງໄກສອກຫຼີກທີ່ມີການເຂົ້າເຖິງຄໍາຮ້ອງສະຫມັກພາຍໃນຢ່າງປອດໄພ, ແລະ SaaS ວິສາຫະກິດ, ແລະປ່ຽນຕົວທ່ອງເວັບໃນ BYOD / ອຸປະກອນທີ່ບໍ່ໄດ້ຈັດການເຂົ້າໄປໃນກອງປະຊຸມຄົ້ນຫາທີ່ເຊື່ອຖືໄດ້.  ຕິດຕໍ່  ຫົວຫນ້າ PR  Junice Liew  SquareX  junice@sqrx.com  ເລື່ອງນີ້ໄດ້ຖືກແຈກຢາຍເປັນການປ່ອຍໂດຍ Cybernewswire ພາຍໃຕ້ໂຄງການບລັອກທຸລະກິດຂອງ HackerNoon. ຮຽນຮູ້ເພີ່ມເຕີມກ່ຽວກັບໂຄງການ   ທີ່ນີ້

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

ສຽງນີ້ຖືກຜະລິດເປັນພາສາຕົ້ນສະບັບຂອງເລື່ອງ!

ຍາວເກີນໄປ; ອ່ານ

Download free Tech Leaders Productivity Report!

ນັກຄົ້ນຄວ້າ SquareX ເປີດເຜີຍການໂຈມຕີ OAuth ກ່ຽວກັບ Chrome Extensions ມື້ກ່ອນການລະເມີດທີ່ສໍາຄັນ

About Author

ຄຳເຫັນ

ວາງປ້າຍ

ບົດຄວາມນີ້ໄດ້ຖືກນໍາສະເຫນີໃນ

Related Stories

THE EVENING SKY AT THE VERNAL EQUINOX

Meet Leobit: HackerNoon Company of the Week

On Building HackerNoon's Pixel Icon Library

New Year, New Exciting Features: Mint Your Name, Watch Web 2.5 and Meet The Top Startups of The Year

THE EVENING SKY AT THE VERNAL EQUINOX

Meet Leobit: HackerNoon Company of the Week

On Building HackerNoon's Pixel Icon Library

New Year, New Exciting Features: Mint Your Name, Watch Web 2.5 and Meet The Top Startups of The Year

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps