Как плагины для браузера выдают корпоративные тайны

Расширения для Chrome и Firefox собирают информацию о посещенных сайтах. Рассказываем, чем это опасно и как защититься.

В июле исследователь Сэм Джадали (Sam Jadali) обнаружил несколько расширений для браузеров Chrome и Firefox, собирающих информацию о посещенных сайтах и передающих эту информацию куда-то. Более того, он нашел платформу, на которой подобные данные успешно продаются.

Казалось бы, особой угрозы для бизнеса тут нет: ну подумаешь, кто-то узнает, что ваш сотрудник открывал сайт подрядчика или даже личный кабинет корпоративного аккаунта в соцсети. Все, что могут узнать злоумышленники, — это адрес, информация же им недоступна. Тем не менее через такие расширения периодически утекают внутренние данные компаний. Рассказываем, как это происходит.

Ссылки, которые расскажут о вас все

Социальные сети и официальные сайты ваших подрядчиков и партнеров действительно не представляют собой никакой тайны. Опасаться стоит утечки «закрытых» страниц, доступных исключительно по уникальным ссылкам. В реальности они защищены только тем, что посторонние не знают их адрес. Вот несколько примеров таких страниц.

Онлайн-совещания

Предположим, ваша компания активно использует веб-конференции, на которых сотрудники разных подразделений обсуждают текущие планы, устраивают мозговые штурмы или просто получают информацию от руководства. Платформ для проведения конференций такого типа множество. В некоторых для участия необходимо сгенерировать ключ. Но маленькие компании часто пользуются бесплатными или недорогими решениями, в которых организатор просто отправляет всем заинтересованным лицам ссылку, содержащую уникальный идентификатор собрания. Этого достаточно для того, чтобы стать участником мероприятия.

Представьте, что один из сотрудников, получивших волшебную ссылку, использует расширение, сливающее информацию третьим лицам. Как только он присоединяется к конференции, недобросовестный плагин отправляет ее URL на торговую площадку. Злоумышленник, собирающий информацию о вашей компании или просто ищущий подвернувшуюся возможность, покупает историю браузера вашего сотрудника и видит, что одна из доступных встреч происходит прямо сейчас.

Ничто не мешает этому покупателю присоединиться к собранию. Конечно, остальные участники получат уведомление о том, что кто-то присоединился к собранию. Но если на нем присутствует несколько десятков человек, причем не все из них знакомы друг с другом, то вряд ли кто-то обратит внимание на еще одного участника. В результате все, что говорилось на конференции, станет известно постороннему человеку.

Онлайн-счета от поставщиков

Поставщики вашей компании могут использовать онлайн-сервисы для выставления счетов. У некоторых сервисов такие счета открываются по уникальной, но общедоступной ссылке. Из них можно узнать имя и адрес вашей компании и компании-поставщика, уплаченную сумму и другую информацию.

Да, в большинстве случаев, если такие сведения попадут в чужие руки, ничего страшного не случится. Но если кто-то хочет воспользоваться методами социальной инженерии, то для него это станет просто кладезем информации.

Рабочие документы

Нередко компании для коллективной работы используют онлайновые сервисы вроде Google Drive. В теории они позволяют ограничивать доступ к файлам так, чтобы посторонний не мог их открыть. Однако далеко не все и не всегда пользуются такими ограничениями. Часто просмотреть и даже отредактировать документ может любой, у кого есть ссылка.

А оказаться в таком документе может что угодно. От коммерческих предложений, то персональных данных сотрудников.

Как защититься от масштабной утечки

Чтобы минимизировать риск подобной утечки, нужно, во-первых, напомнить сотрудникам о том, что к выбору браузерных расширений стоит относиться критически. Но лучше утвердить список проверенных расширений, необходимых для работы, а все остальное запретить как потенциально опасное. Также будет нелишне напомнить сотрудникам о том, что если сервис допускает возможность открыть доступ к документу только конкретным людям, то так и нужно поступать.

Кроме того, вероятно имеет смысл проанализировать используемые в компании онлайновые сервисы и выявить те, что предоставляют доступ по ссылке, не используя дополнительной аутентификации. От них лучше отказаться и поискать более надежные аналоги.

Наконец, на компьютерах сотрудников нужно обязательно использовать надежное защитное решение, которое может выявить попытку установки вредоносного расширения и другие киберугрозы.

Советы