Ερευνητές ασφαλείας ανακάλυψαν ένα τρόπο που επιτρέπει στους διαδικτυακούς εγκληματίες να αποκτήσουν πρόσβαση στους λογαριασμούς Google των χρηστών χωρίς να χρειάζονται τους κωδικούς πρόσβασης.
Η ανάλυση από την εταιρεία ασφάλειας CloudSEK διαπίστωσε ότι μια επικίνδυνη μορφή κακόβουλου λογισμικού χρησιμοποιεί cookies τρίτων για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα προσωπικά δεδομένα εκατομμυρίων χρηστών.
Το exploit αποκαλύφθηκε για πρώτη φορά τον Οκτώβριο του 2023. Οι λογαριασμοί θα μπορούσαν να παραβιαστούν μέσω μιας ευπάθειας με τα cookies, τα οποία χρησιμοποιούνται από τους ιστότοπους και τα προγράμματα περιήγησης για την παρακολούθηση των χρηστών.
Τα cookies όπως όλοι γνωρίζουμε, δίνουν τη δυνατότητα πρόσβασης σε λογαριασμούς χωρίς να χρειάζεται να εισάγουμε τα στοιχεία σύνδεσής μας κάθε φορά που επισκεπτόμαστε ξανά τη σελίδα. Ωστόσο οι διαδικτυακοί εγκληματίες βρήκαν έναν τρόπο να ανακτήσουν αυτά τα cookies προκειμένου να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων. Η ευπάθεια, επιτρέπει την πρόσβαση στο λογαριασμό μας ακόμη και μετά το reset του password.