Im Chrome-Browser wurde ein Problem beim Senden vertraulicher Daten an Google-Server festgestellt, wenn der erweiterte Rechtschreibprüfmodus aktiviert ist, der eine Überprüfung mit einem externen Dienst beinhaltet. Das Problem tritt auch im Edge-Browser auf, wenn die Microsoft Editor-Erweiterung verwendet wird.
Es stellte sich heraus, dass der Text zur Überprüfung unter anderem aus Eingabeformularen übertragen wird, die vertrauliche Daten enthalten, wie Benutzernamen, Adressen, E-Mail-Adressen, Personalausweisnummern und sogar Passwörter, falls die Passwortfelder nicht mit dem Standard-Tag „“ eingeschränkt sind. Zum Beispiel führt das Problem dazu, dass Passwörter an der Server www.googleapis.com gesendet werden, wenn die Option aktiviert ist, das eingegebene Passwort anzuzeigen, die in Google Cloud-Diensten (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud und LastPass implementiert ist. Von 30 getesteten bekannten Websites, einschließlich sozialer Netzwerke, Banken, Cloud-Plattformen und Online-Shops, waren 29 von einem Leck betroffen.
In AWS und LastPass wurde das Problem schnell durch das Hinzufügen des Parameters „spellcheck=false“ im „input“-Tag gelöst. Um die Übermittlung von Daten auf der Benutzerseite zu blockieren, sollte die erweiterte Überprüfung in den Einstellungen deaktiviert werden (Bereich „Sprachen/Rechtschreibprüfung/Erweiterte Überprüfung“, standardmäßig ist die erweiterte Überprüfung deaktiviert).


Quelle: opennet.ru
