Según Tavis Ormandy, conocido por su trabajo como investigador de seguridad en Google Project Zero, el pasado 2 de febrero se descubrió una vulnerabilidad en las extensiones para Chrome y Firefox de Grammarly que dejaba expuestos los tokens de validación y cualquier página podía aprovechar para robar datos de forma remota. Además, sólo eran necesarias 4 líneas de código JavaScript.
En resumen, cualquier página visitada por un usuario de Grammarly podría robarle sus datos de autenticación. Esto es más que suficiente para acceder a su cuenta personal y a todos los documentos, historial, registros y otros datos sin su permiso. Para Ormandy, estamos ante una vulnerabilidad muy grave porque supone “una violación severa del usuario”.