Уязвимость протокола OAuth угрожала данным пользователей Grammarly
Популярный сервис проверки правописания Grammarly исправил уязвимость, которая позволяла потенциальным злоумышленникам получить доступ к данным пользователей. Под угрозой были те, кто авторизовался на платформе при помощи учетной записи Google или соцсетей. Из-за особенности открытого протокола аутентификации OAuth данные логины и пароли пользователей оказались в опасности.
Проблему обнаружили исследователи Salt Security. Оказалось, что она свойственна сразу нескольким продуктам, например, индонезийскому сервису стриминговых видео Vidio.
В Grammarly поблагодарили исследователей за обнаружение уязвимости. Отмечается, аккаунты пользователей Grammarly не были скомпрометированы. Ежедневно сервисом пользуются порядка 30 миллионов человек.
Эксперты Salt Security уточняют, что многие использующие протокол OAuth могут оказаться уязвимы по похожей схеме. Технику атаки назвали Pass-The-Token, поскольку для входа на платформу требуется верифицированный токен. Однако, когда Grammarly не удалось подтвердить токен, исследователи использовали собственный с другого сайта и успешно получили доступ к данным пользователей.
похожие материалы
Минфин США срочно собрал банкиров из-за новой ИИ-модели, которая уже находит тысячи уязвимостей
Минфин США провел экстренное совещание с крупнейшими банками на фоне опасений вокруг новой модели Anthropic.
На «Госуслугах» появится красная кнопка для жалоб на кибермошенников
На портале «Госуслуги» в ближайшее время может появиться специальная «красная кнопка» для сообщений о мошенничестве и других преступных действиях.
Microsoft заблокировала разработчиков VeraCrypt и WireGuard без предупреждения
Microsoft заблокировала аккаунты разработчиков сразу нескольких популярных open source-проектов, включая VeraCrypt, WireGuard, Windscribe и MemTest86.
В 2025 году злоумышленники похитили данные более 1 миллиона банковских аккаунтов по всему миру
Согласно глобальному отчёту* «Лаборатории Касперского» по финансовым угрозам, в 2025 году при помощи программ для кражи данных (стилеров) было скомпрометировано более 1 миллиона банковских аккаунтов.
Война на Ближнем Востоке заставляет Microsoft пересматривать защиту дата-центров
Microsoft может изменить подход к проектированию новых дата-центров на фоне военных рисков на Ближнем Востоке.
Telegram в России все-таки заблокирован
В ночь на 10 апреля доступ к Telegram в России резко ухудшился.
78% россиян берут на себя заботу о цифровой безопасности близких
Цифровые сервисы стали неотъемлемой частью повседневной жизни — вместе с этим растёт и значимость онлайн-безопасности, в том числе в заботе о близких.
UserGate и mt cloud и запускают MSS-сервис на базе отечественного NGFW
UserGate и mt cloud объявили о начале стратегического партнерства.
Эксперты подвели итоги исследования киберугроз за первые три месяца 2026 года
В течение первого квартала 2026 года эксперты компании «Перспективный мониторинг» проводили комплексный мониторинг информационного пространства, направленный на выявление актуальных угроз и тенденций в сфере информационной безопасности.
«Газинформсервис» подвёл итоги участия в GITEX Africa 2026
Крупнейшая технологическая выставка GITEX Africa 2026 завершилась в Марракеше.