این آسیب‌پذیری Microsoft Copilot تنها به یک کلیک نیاز دارد و اطلاعات شخصی شما را می‌توان به سرقت برد

یک نقص در نرم افزار Copilot مایکروسافت به مهاجمان اجازه می دهد تا با یک کلیک اطلاعات شخصی کاربران را به سرقت ببرند. گزارش جدیدی توسط محققان در شرکت تحقیقاتی امنیت داده Varonis Threat Labs، با نام بهره‌برداری «Reprompt»، توضیح می‌دهد که چگونه این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا یک نقطه ورودی برای انجام زنجیره فیلتر کردن داده‌ها به دست آورند که کنترل‌های امنیتی را دور می‌زند تا به داده‌های شناسایی نشده دسترسی پیدا کنند.

به گفته محققان، مهاجمی که از اکسپلویت Reprompt استفاده می کند، یک لینک فیشینگ برای کاربر ارسال می کند. هنگامی که پیوند باز شد، یک فرآیند چند مرحله ای اضافه کردن سریع با استفاده از “پارامتر q” آغاز می شود. این به مهاجم اجازه می‌دهد تا اطلاعاتی مانند آدرس قربانی یا فایل‌هایی را که اخیراً مشاهده کرده است از Copilot درباره قربانی درخواست کند. آنها می توانند به این داده ها دسترسی داشته باشند حتی اگر Copilot خاموش باشد.