Masalah telah teridentifikasi di browser Chrome dengan data sensitif yang dikirim ke server Google saat mode pemeriksaan ejaan lanjutan diaktifkan, yang melibatkan pemeriksaan menggunakan layanan eksternal. Masalah juga muncul di browser Edge saat menggunakan add-on Microsoft Editor.
Ternyata teks verifikasi tersebut disampaikan antara lain dari form input yang berisi data rahasia, termasuk dari field yang berisi nama pengguna, alamat, email, data paspor bahkan password, jika kolom input password tidak dibatasi oleh standar. tandai “ " Misalnya, masalah menyebabkan kata sandi dikirim ke server www.googleapis.com jika opsi untuk menampilkan kata sandi yang dimasukkan diaktifkan, diterapkan di Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Layanan Cloud dan LastPass. Dari 30 situs terkenal yang diuji, termasuk jejaring sosial, bank, platform cloud, dan toko online, 29 diantaranya ditemukan bocor.
Di AWS dan LastPass, masalah telah diselesaikan dengan cepat dengan menambahkan parameter “spellcheck=false” ke tag “input”. Untuk memblokir pengiriman data di sisi pengguna, Anda harus menonaktifkan pemeriksaan lanjutan di pengaturan (bagian “Bahasa/Pemeriksaan ejaan/Pemeriksaan ejaan yang ditingkatkan” atau “Bahasa/Pemeriksaan ejaan/Pemeriksaan ejaan yang ditingkatkan”, pemeriksaan lanjutan dinonaktifkan secara default).
Sumber: opennet.ru