Os Dados de 4,6 Milhões de Usuários do Evernote foram Colocados em Risco Devido a uma Falha na Extensão do Chrome

Você já ouviu falar sobre a importância de ter cuidado com as extensões do navegador que instala e sabe que tipo de critério deve considerar antes de decidir se um complemento específico deve ou não ser permitido em qualquer lugar próximo ao seu navegador. Idealmente, você só adicionará extensões provenientes de fornecedores conhecidos, possui grandes bases de usuários e desfruta de críticas positivas. Como o Evernote Web Clipper para o Chrome se acumula?

Bem, foi desenvolvido pelas mesmas pessoas que trazem o Evernote - um aplicativo popular para anotações. A extensão em si foi avaliada por mais de 130 mil pessoas e alcançou uma classificação média de 4,7 estrelas, o que é impressionante. Segundo a Chrome Web Store, foi baixado por mais de 4,6 milhões de usuários.

Teoricamente, a extensão é totalmente segura de usar. Na prática, no entanto, até algumas semanas atrás, não era.

A Extensão para o Chrome do Web Clipper do Evernote Tinha uma Crítica Vulnerabilidade de Segurança

No mês passado, pesquisadores do Guardio https://guard.io/blog/evernote-universal-xss-vulnerability descobriram uma falha de segurança bastante séria com a extensão Web Clipper Chrome. Era uma vulnerabilidade universal de script entre sites, que, como uma exploração de prova de conceito demonstra, poderia ter sido usada para roubar qualquer coisa, desde informações da conta do Facebook até dados de transações do PayPal.

Foi isso que tornou a vulnerabilidade tão perigosa. Como observa o Guardio, as extensões mais vulneráveis têm um alcance bastante limitado e afetam apenas os dados manipulados pelo fornecedor do addon. A falha na extensão Web Clipper, no entanto, permitiu o roubo de todos os tipos de informações que não estão relacionadas ao Evernote de forma alguma.

Tudo o que os hackers precisavam fazer era atrair a vítima para um site malicioso e ocultar algum código em um iframe. Um erro nos mecanismos de higienização significava que a extensão poderia ser forçada a executar o código e deixar os criminosos entrarem.

O Evernote Corrigiu Rapidamente o Problema

Como você pode ver, mesmo as grandes empresas que prestam serviços a muitos milhões de usuários cometem erros ao escrever seu software. Nesses casos, é muito importante ver como esses erros são corrigidos e estamos felizes em informar que o Evernote levou o assunto muito a sério.

Em 27 de maio, o Guardio entrou em contato com o fornecedor do software e divulgou em particular o problema de segurança. Dentro de 24 horas, o Evernote reconheceu o problema e começou a trabalhar para corrigi-lo. No dia seguinte, foram atribuídos créditos aos pesquisadores do Guardio no Hall da Fama do Evernote, e dois dias depois, em 31 de maio, uma nova versão da extensão Web Clipper Chrome foi lançada oficialmente. Os especialistas do Guardio confirmaram que a atualização corrige a vulnerabilidade, o que significa que, se você usar o Web Clipper no navegador Chrome, verifique se a versão é 7.11.1 ou mais recente.