Er is een probleem vastgesteld in de Chrome-browser waarbij gevoelige gegevens naar de servers van Google worden verzonden wanneer de geavanceerde spellingcontrolemodus is ingeschakeld, waarbij controle wordt uitgevoerd met behulp van een externe service. Het probleem treedt ook op in de Edge-browser wanneer u de Microsoft Editor-add-on gebruikt.
Het bleek dat de tekst ter verificatie onder meer wordt verzonden vanuit invoerformulieren die vertrouwelijke gegevens bevatten, inclusief velden met gebruikersnamen, adressen, e-mail, paspoortgegevens en zelfs wachtwoorden, als de wachtwoordinvoervelden niet worden beperkt door de standaard label " " Het probleem leidt er bijvoorbeeld toe dat wachtwoorden naar de server www.googleapis.com worden verzonden als de optie om het ingevoerde wachtwoord weer te geven is ingeschakeld, geïmplementeerd in Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud- en LastPass-services. Van de 30 bekende sites die zijn getest, waaronder sociale netwerken, banken, cloudplatforms en webwinkels, bleken er 29 te zijn gelekt.
In AWS en LastPass is het probleem al snel opgelost door de parameter “spellcheck=false” toe te voegen aan de tag “input”. Om het verzenden van gegevens aan de gebruikerszijde te blokkeren, moet u de geavanceerde controle uitschakelen in de instellingen (sectie “Talen/Spellingcontrole/Verbeterde spellingcontrole” of “Talen/Spellingcontrole/Verbeterde spellingcontrole”, geavanceerde controle is standaard uitgeschakeld).
Bron: opennet.ru