Se identificó un problema en el navegador Chrome con el envío de datos confidenciales a los servidores de Google cuando el modo de revisión ortográfica avanzada está habilitado, lo que implica la verificación mediante un servicio externo. El problema también aparece en el navegador Edge cuando se utiliza el complemento Microsoft Editor.
Resultó que el texto para verificación se transmite, entre otras cosas, desde formularios de entrada que contienen datos confidenciales, incluidos campos que contienen nombres de usuario, direcciones, correo electrónico, datos de pasaporte e incluso contraseñas, si los campos de entrada de contraseñas no están limitados por el estándar. etiqueta " " Por ejemplo, el problema lleva a que las contraseñas se envíen al servidor www.googleapis.com si está habilitada la opción de mostrar la contraseña ingresada, implementada en Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba. Servicios en la nube y LastPass. De los 30 sitios conocidos analizados, incluidas redes sociales, bancos, plataformas en la nube y tiendas en línea, se descubrió que 29 tenían filtraciones.
En AWS y LastPass, el problema ya se resolvió rápidamente agregando el parámetro "spellcheck=false" a la etiqueta "input". Para bloquear el envío de datos por parte del usuario, debe desactivar la verificación avanzada en la configuración (sección “Idiomas/Revisión ortográfica/Revisión ortográfica mejorada” o “Idiomas/Revisión ortográfica/Revisión ortográfica mejorada”, la verificación avanzada está deshabilitada por defecto).
Fuente: opennet.ru