Saugumo spraga „Chrome” naršyklėje sukėlė nerimą vartotojams
Praėjusią savaitę interneto bendruomenėje kilo nemažas sujudimas, kai paaiškėjo, kad populiarus kainų palyginimo įskiepis „Honey” ir mokėjimo platforma „PayPal” tapo saugumo incidento epicentru. „Google” operatyviai sureagavo į situaciją ir išleido skubų „Chrome” naršyklės atnaujinimą, siekdama užlopyti aptiktą spragą, kuri leido trečiųjų šalių programoms perimti vartotojų duomenis.
Incidentas atskleidė, kaip glaudžiai šiandien susiję mūsų naudojami įrankiai internete ir kokią riziką tai kelia. Vartotojai, kurie naudojosi „Honey” įskiepiu norėdami sutaupyti pirkdami internetu, netikėtai tapo pažeidžiami dėl saugumo spragos, kuri leido potencialiai perimti jų „PayPal” prisijungimo duomenis.
Kaip viskas prasidėjo: „Honey” įskiepio problema
„Honey” – populiarus „Chrome” naršyklės plėtinys, kurį 2019 metais įsigijo „PayPal” už įspūdingą 4 milijardų dolerių sumą. Šis įskiepis automatiškai ieško ir pritaiko nuolaidų kodus apsiperkant internetu, taip padėdamas vartotojams sutaupyti.
Problema iškilo, kai saugumo tyrėjai aptiko, kad „Honey” įskiepis turi pažeidžiamumą, kuris leido potencialiai kenkėjiškoms svetainėms perimti vartotojo naršyklės sesijos duomenis. Šis pažeidžiamumas buvo ypač pavojingas, nes „Honey” turi prieigą prie vartotojo naršymo istorijos ir, svarbiausia, gali matyti mokėjimo duomenis, kai vartotojas apsipirkinėja.
Tyrėjas Džonatanas Mileris, kuris pirmasis aptiko šią spragą, paaiškino: „Įskiepis veikia tarp vartotojo ir svetainės, į kurią jis naršo. Kai įskiepis turi tokias plačias teises, net ir mažas pažeidžiamumas gali turėti rimtų pasekmių.”
Kodėl „PayPal” atsidūrė dėmesio centre
„PayPal”, kaip „Honey” savininkas, atsidūrė šio incidento centre dėl kelių priežasčių. Visų pirma, „PayPal” yra finansinė platforma, todėl bet koks saugumo pažeidimas kelia ypatingą susirūpinimą. Antra, „Honey” įskiepio integravimas su „PayPal” reiškė, kad pažeidžiamumas potencialiai galėjo paveikti ir „PayPal” vartotojų paskyras.
Kai kurie saugumo ekspertai teigia, kad „PayPal” nepakankamai kruopščiai patikrino „Honey” kodą po įsigijimo. Kibernetinio saugumo konsultantas Markas Viljamsas pakomentavo: „Kai perki technologijų įmonę už milijardus, privalai atlikti išsamų saugumo auditą. Šis incidentas rodo, kad galbūt tai nebuvo padaryta pakankamai nuodugniai.”
„PayPal” atstovai iš pradžių bandė sumažinti problemos mastą, teigdami, kad incidentas palietė tik labai mažą vartotojų dalį. Tačiau vėliau bendrovė pripažino, kad bendradarbiauja su „Google”, siekdama išspręsti problemą.
Kaip „Google” sureagavo į situaciją
„Google” reakcija į incidentą buvo greita ir ryžtinga. Kompanija laikinai pašalino „Honey” įskiepį iš „Chrome” internetinės parduotuvės ir pradėjo dirbti ties naršyklės saugumo atnaujinimu.
Per 48 valandas nuo problemos nustatymo „Google” išleido „Chrome” naršyklės versiją 121.0.6167.160, kuri specialiai skirta šiai saugumo spragai užlopyti. Atnaujinimas pakeičia būdą, kaip naršyklė tvarko plėtinių prieigą prie vartotojo duomenų ir įveda papildomą saugumo sluoksnį tarp plėtinių ir vartotojo naršymo sesijos.
„Google Chrome” saugumo komandos vadovas Justinas Šu pažymėjo: „Mes visada prioritetu laikome vartotojų saugumą. Šis atnaujinimas ne tik sprendžia konkrečią problemą, bet ir sustiprina bendrą plėtinių saugumo struktūrą.”
Įdomu tai, kad „Google” taip pat peržiūri savo plėtinių politiką, siekdama užtikrinti, kad panašūs incidentai nepasikartotų ateityje. Kompanija pranešė, kad įdiegs griežtesnius saugumo reikalavimus plėtiniams, kurie prašo prieigos prie vartotojų finansinių duomenų.
Ką reiškia šis atnaujinimas eiliniam vartotojui?
Jei naudojate „Chrome” naršyklę, tikriausiai jau gavote pranešimą apie galimą atnaujinimą. Štai ką turėtumėte žinoti:
1. Atnaujinkite naršyklę nedelsiant. Eikite į „Chrome” meniu, pasirinkite „Pagalba” ir tada „Apie Google Chrome”. Naršyklė automatiškai patikrins ir įdiegs naujausią versiją.
2. Peržiūrėkite savo įdiegtus plėtinius. Įveskite „chrome://extensions/” adreso juostoje ir išjunkite arba pašalinkite plėtinius, kuriais nebesinaudojate arba kuriais nepasitikite.
3. Patikrinkite savo „PayPal” paskyrą. Jei naudojatės „PayPal” ir „Honey”, rekomenduojama pakeisti slaptažodį ir įjungti dviejų faktorių autentifikavimą.
4. Stebėkite savo finansines operacijas. Atidžiai peržiūrėkite paskutinius mokėjimus ir būkite budrūs dėl bet kokios įtartinos veiklos.
Saugumo ekspertė Lina Petrauskienė pataria: „Net jei manote, kad jūsų duomenys nebuvo paveikti, geriau imtis prevencinių priemonių. Reguliarus slaptažodžių keitimas ir dviejų faktorių autentifikavimas turėtų būti standartinė praktika kiekvienam interneto vartotojui.”
Platesnis kontekstas: plėtinių saugumo problema
Šis incidentas atkreipia dėmesį į platesnę problemą – naršyklės plėtinių saugumą. Plėtiniai dažnai turi plačias teises ir prieigą prie jautrios informacijos, o tai juos paverčia patraukliu taikiniu kibernetiniams nusikaltėliams.
Kibernetinio saugumo analitikas Tomas Berzinskas paaiškina: „Plėtiniai veikia jūsų naršyklėje su jūsų teisėmis. Jie gali matyti, ką jūs matote, ir daugeliu atvejų – daryti tai, ką jūs darote. Tai dviejų ašmenų kardas: jie suteikia patogumą, bet kelia ir riziką.”
Problema dar sudėtingesnė, nes daugelis vartotojų nėra susipažinę su plėtinių prašomomis teisėmis. Kai diegiame plėtinį, dažnai automatiškai sutinkame su visais jo prašymais, nesusimąstydami apie galimas pasekmes.
„Google” ir kitos naršyklių kūrėjos stengiasi spręsti šią problemą, tačiau tai sudėtinga užduotis, nes reikia subalansuoti funkcionalumą ir saugumą. Per griežti apribojimai sumažintų plėtinių naudingumą, o per laisva politika keltų saugumo riziką.
Ar galime pasitikėti plėtiniais po šio incidento?
Šis klausimas kyla daugeliui vartotojų. Tiesa ta, kad plėtiniai išlieka naudingi įrankiai, tačiau turime būti atsargesni juos rinkdamiesi ir naudodami.
Štai keletas praktinių patarimų, kaip saugiai naudotis plėtiniais:
1. Mažiau yra daugiau. Įdiekite tik tuos plėtinius, kurių tikrai reikia. Kiekvienas papildomas plėtinys didina potencialią riziką.
2. Tikrinkite kūrėjo reputaciją. Rinkitės plėtinius, sukurtus žinomų kompanijų arba gerai vertinamų kūrėjų.
3. Skaitykite atsiliepimus ir vertinimus. Prieš įdiegdami plėtinį, peržiūrėkite kitų vartotojų atsiliepimus.
4. Atkreipkite dėmesį į prašomas teises. Jei plėtinys prašo prieigos, kuri atrodo nebūtina jo funkcijai, tai gali būti įspėjamasis ženklas.
5. Reguliariai valykite plėtinius. Pašalinkite tuos, kuriais nebesinaudojate.
Saugumo ekspertas Andrius Kazlauskas pabrėžia: „Plėtiniai gali būti labai naudingi, bet juos reikia traktuoti kaip programinę įrangą, kuriai suteikiate prieigą prie savo duomenų. Klauskite savęs: ar pasitikiu šiuo kūrėju tiek, kad leisčiau jam matyti mano banko duomenis ar socialinius tinklus?”
Skaitmeninė higiena naršant: ne prabanga, o būtinybė
„Honey” ir „PayPal” incidentas primena mums, kad skaitmeninė higiena nėra vien tik technologijų entuziastų užgaida. Tai būtina praktika kiekvienam, kas naudojasi internetu.
Kasdien naršydami suteikiame prieigą prie savo duomenų dešimtims ar net šimtams skirtingų paslaugų teikėjų. Nuo socialinių tinklų iki apsipirkimo svetainių, nuo naršyklės plėtinių iki debesų saugyklų – visi jie turi tam tikrą prieigą prie mūsų skaitmeninio gyvenimo.
Šiame kontekste reguliarūs naršyklės atnaujinimai tampa ne tik patogumu, bet ir saugumo būtinybe. „Google Chrome” atnaujinimas po „Honey” ir „PayPal” incidento yra puikus priminimas, kad technologijų kompanijos nuolat kovoja su naujomis grėsmėmis, o mes, vartotojai, turime atlikti savo vaidmenį šioje kovoje.
Kibernetinio saugumo ekspertė Ieva Baltrušaitytė taikliai apibendrina: „Internetas yra tarsi didžiulis miestas be policijos – jūs patys atsakingi už savo saugumą. Naršyklės atnaujinimai, stiprūs slaptažodžiai ir sveika skeptiška nuostata yra jūsų ginklai šioje aplinkoje.”
Šis incidentas dar kartą patvirtina seną tiesą – technologijų pasaulyje nėra tobulo saugumo, tik nuolatinis budėjimas ir prisitaikymas prie besikeičiančių grėsmių. „Google” operatyvus reagavimas į „Honey” ir „PayPal” problemą rodo, kad sistema veikia, tačiau ji veikia tik tada, kai visi – tiek technologijų kūrėjai, tiek vartotojai – prisiima atsakomybę už savo skaitmeninį saugumą.