תוספי דפדפן רבים שארגונים מתירים לעובדים להשתמש בהם כאשר עובדים עם אפליקציות SaaS כמו Google Workspace ו-Microsoft 365, יש להם גישה לרמות גבוהות של תוכן ומציגות סיכונים כמו גניבת נתונים ובעיות תאימות, כך מצא מחקר חדש.
חוקרים ב-Spin.AI ערכו לאחרונה הערכת סיכונים על כ-300,000 הרחבות דפדפן ויישומי OAuth של צד שלישי הנמצאים בשימוש בסביבות ארגוניות. ההתמקדות הייתה בהרחבות דפדפן מבוססות Chromium בדפדפנים מרובים כמו Chrome של גוגל ו-Edge של Microsoft.
הרחבות בסיכון גבוה
המחקר הראה כי 51% מכל ההרחבות שהותקנו היו בסיכון גבוה ובעל פוטנציאל לגרום נזק רב לארגונים המשתמשים בהם. לכל התוספים הייתה היכולת ללכוד נתונים רגישים מאפליקציות ארגוניות, להפעיל JavaScript זדוני ולשלוח בחשאי נתונים מוגנים כולל פרטי בנק ותעודות כניסה לגורמים חיצוניים.
רוב ההרחבות - 53% - זֶה ספין מוערך היו הרחבות הקשורות לפרודוקטיביות. אבל הגרוע ביותר - מנקודת מבט של אבטחה ופרטיות לפחות - היו הרחבות דפדפן בשימוש בסביבות פיתוח תוכנות ענן: Spin העריך 56% מהן כסיכוני אבטחה גבוהים.
"ההשפעה העיקרית של ארגונים מהדוח הזה היא סיכוני אבטחת הסייבר המשמעותיים הקשורים להרחבות דפדפן", אומרת דוויט אסתריאן, אחת מחברות הדו"ח שפורסם השבוע. "הרחבות אלו, על אף שהן מציעות תכונות שונות לשיפור חוויית המשתמש והפרודוקטיביות, עלולות להוות איומים רציניים על נתונים המאוחסנים בדפדפנים כגון Chrome ו-Edge, או נתוני SaaS המאוחסנים בפלטפורמות כמו Google Workspace ו-Microsoft 365", הוא אומר.
דוגמה אחת היא תקרית לאחרונה שבה שחקן איום העלה תוסף דפדפן זה התיימר להיות התוסף הלגיטימי לדפדפן ChatGPT אבל היה למעשה סוס טרויאני שחטף חשבונות פייסבוק. אלפי משתמשים התקינו את התוסף ונגנבו מיד את האישורים של חשבון הפייסבוק שלהם. החשבונות שנפגעו כללו כמה אלפי חשבונות עסקיים.
גוגל הסירה במהירות את התוסף המכיל נשק מחנות הכרום הרשמית שלה. אבל זה לא מנע מאחרים להעלות בחופשיות תוספי ChatGPT אחרים לאותה חנות: Spin מצא יותר מ-200 הרחבות ChatGPT בחנות האינטרנט של Chrome באוגוסט, בהשוואה ל-11 בלבד במאי.
בקרות רופפות
הניתוח של ספין הראה שלארגונים עם למעלה מ-2,000 עובדים יש בממוצע 1,454 הרחבות מותקנות. הנפוצים שבהם היו הרחבות הקשורות לפרודוקטיביות, כלים שעזרו למפתחים ותוספים שאפשרו נגישות טובה יותר. יותר משליש (35%) מהרחבות אלו הציגו סיכון גבוה, לעומת 27% בארגונים עם פחות מ-2,000 עובדים.
אחד הקטעים המדהימים מהדוח של ספין הוא המספר הגבוה יחסית של הרחבות לדפדפן - 42,938 - עם מחברים אנונימיים שנראה שארגונים משתמשים בהם בחופשיות מבלי להתחשב במלכודות אבטחה פוטנציאליות. הנתון מדאיג במיוחד בהתחשב באיזו קלות כל אדם עם כוונות זדוניות יכול לפרסם הרחבה, אומר אסאטריאן. המחמיר את המצב היא העובדה שבמקרים מסוימים, תוספי הדפדפן שבהם ארגונים משתמשים נבעו מחוץ לשוק רשמי.
"חברות גם בונות לפעמים הרחבות משלהן לשימוש פנימי ומעלות אותן", אומר אסאטריאן. "עם זאת, זה עשוי להכניס סיכון נוסף, מכיוון שהרחבות ממקורות אלה לא יעברו את אותה רמת בדיקה ובדיקות אבטחה", כמו אלה הזמינות בחנויות רשמיות.
ספין גילה שדפדפנים יכולים להיות גרועים מההתחלה או לפעמים לרכוש תכונות זדוניות באמצעות עדכונים אוטומטיים. זה יכול לקרות כאשר תוקף חודר לשרשרת האספקה של ארגון ומכניס קוד זדוני לעדכון לגיטימי. מפתחים יכולים גם למכור את ההרחבות שלהם לצדדים שלישיים אחרים שעלולים לעדכן אותם עם יכולות זדוניות.
גורם נוסף שארגונים צריכים לקחת בחשבון הוא כיצד תוסף דפדפן עשוי להשתמש בהרשאותיו כדי להתנהג בדרכים בלתי צפויות. "לדוגמה, הרחבה יכולה לקבל הרשאת 'זהות' ולאחר מכן להשתמש בהרשאת 'בקשת האינטרנט' כדי לשלוח מידע זה לצד שלישי", אומר אסאטריאן.
חשוב לארגונים להקים ולאכוף מדיניות המבוססת על מסגרות ניהול סיכונים של צד שלישי, הוא מציין. הם צריכים להעריך הרחבות ויישומים עבור סיכוני תפעול, אבטחה, פרטיות ותאימות, ולשקול יישום בקרות אוטומטיות המאפשרות או חוסמות הרחבות על סמך מדיניות ארגונית.
"אנו ממליצים לארגונים להעריך תוספי דפדפן לפני התקנתם על ידי התחשבות בגורמים כמו היקף ההרשאות המבוקש על ידי התוסף, המוניטין של המפתח וחשיפת ביקורת אבטחה או תאימות", אומר Asatryan. עדכונים ותחזוקה שוטפים חשובים כמו ביקורות ודירוגים של משתמשים, וכל היסטוריה של פרצות מידע או תקריות אבטחה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/cloud/study-more-than-half-of-browser-extensions-pose-security-risks
- :יש ל
- :הוא
- :לֹא
- :איפה
- 000
- 1
- 11
- 200
- 35%
- 7
- a
- יכולת
- גישה
- נגישות
- חֶשְׁבּוֹן
- חשבונות
- לרכוש
- לרוחב
- נוסף
- AI
- תעשיות
- להתיר
- גם
- בין
- an
- אנליזה
- ו
- אנונימי
- כל
- כל אחד
- לְהוֹפִיעַ
- יישומים
- אפליקציות
- ARE
- AS
- לְהַעֲרִיך
- מוֹעֳרָך
- הערכה
- המשויך
- At
- ביקורת
- אוגוסט
- מחברים
- אוטומטי
- מכני עם סלילה אוטומטית
- זמין
- מְמוּצָע
- רע
- בנקאות
- מבוסס
- BE
- לפני
- מוטב
- לחסום
- פרות
- דפדפן
- דפדפנים
- לִבנוֹת
- עסקים
- אבל
- by
- CAN
- יכולות
- ללכוד
- מקרים
- לגרום
- שרשרת
- ChatGPT
- בדיקות
- Chrome
- ענן
- קוד
- Common
- חברות
- לעומת
- הענות
- התפשר
- מנוהל
- לשקול
- בהתחשב
- תוכן
- בקרות
- יכול
- אישורים
- אבטחת סייבר
- נתונים
- הפרת נתונים
- פרטים
- מפתח
- מפתחים
- צעצועי התפתחות
- חשיפה
- בקלות
- אדג '
- עובדים
- מופעל
- לאכוף
- להגביר את
- מִפְעָל
- סביבות
- במיוחד
- להקים
- להעריך
- דוגמה
- ניסיון
- הארכה
- סיומות
- נרחב
- חיצוני
- פייסבוק
- עובדה
- גורם
- גורמים
- תכונות
- פחות
- להתמקד
- בעד
- מצא
- מסגרות
- החל מ-
- נתן
- Go
- היה
- חצי
- לקרות
- יש
- he
- עזר
- גָבוֹהַ
- היסטוריה
- סוּס
- איך
- אולם
- HTTPS
- זהות
- יישום
- חשוב
- in
- הַתחָלָה
- תקרית
- כלול
- כולל
- מידע
- מוסיף
- מותקן
- התקנה
- כוונה
- פנימי
- אל תוך
- מבוא
- בעיות
- IT
- שֶׁלָה
- JavaScript
- jpg
- רק
- הכי פחות
- לגיטימי
- רמה
- רמות
- כמו
- התחבר
- ראשי
- תחזוקה
- עשייה
- ניהול
- שוק
- עניינים
- מאי..
- מיקרוסופט
- יכול
- יותר
- רוב
- מספר
- צורך
- חדש
- הערות
- מספר
- oauth
- להשיג
- of
- הצעה
- רשמי
- on
- ONE
- שליש
- מבצעי
- or
- ארגון
- אִרְגוּנִי
- ארגונים
- אחר
- אחרים
- בחוץ
- יותר
- שֶׁלוֹ
- צדדים
- רשות
- הרשאות
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- פוזה
- פוטנציאל
- להציג
- מוצג
- פְּרָטִיוּת
- פִּריוֹן
- מוּגָן
- לפרסם
- תכונות
- מהירות
- דירוגים
- מציאות
- לאחרונה
- לאחרונה
- להמליץ
- רגיל
- יחסית
- שוחרר
- הוסר
- לדווח
- מוניטין
- חוות דעת של לקוחותינו
- הסיכון
- הערכת סיכונים
- ניהול סיכונים
- סיכונים
- הפעלה
- s
- SaaS
- אותו
- אומר
- היקף
- בדיקה
- אבטחה
- סיכוני אבטחה
- למכור
- לשלוח
- רגיש
- רציני
- כמה
- הראה
- משמעותי
- תוכנה
- פיתוח תוכנה
- כמה
- מקור
- מקורות
- לְסוֹבֵב
- עמדה
- גָנוּב
- נעצר
- חנות
- מאוחסן
- חנויות
- לימוד
- כזה
- לספק
- שרשרת אספקה
- מֵאֲשֶׁר
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- אלה
- הֵם
- צד שלישי
- זֶה
- השבוע
- אלה
- אלפים
- איום
- איומים
- דרך
- ל
- כלים
- טרויאני
- סוס טרויאני
- לא צפוי
- עדכון
- עדכונים
- נטען
- העלאה
- להשתמש
- משתמש
- חוויית משתמש
- ביקורות משתמשים
- משתמשים
- באמצעות
- שונים
- באמצעות
- היה
- דרכים
- we
- שבוע
- היו
- מתי
- בזמן
- מי
- עם
- בתוך
- לְלֹא
- עובד
- גרוע יותר
- גרוע
- זפירנט