W przeglądarce Chrome zidentyfikowano problem polegający na wysyłaniu wrażliwych danych na serwery Google, gdy włączony jest tryb zaawansowanego sprawdzania pisowni, który polega na sprawdzaniu za pomocą usługi zewnętrznej. Problem pojawia się także w przeglądarce Edge podczas korzystania z dodatku Microsoft Editor.
Okazało się, że tekst do weryfikacji przekazywany jest m.in. z formularzy wejściowych zawierających poufne dane, m.in. z pól zawierających nazwy użytkowników, adresy, adres e-mail, dane paszportowe, a nawet hasła, jeśli pola wprowadzania hasła nie są ograniczone przez standard tag „ " Problem powoduje np. wysyłanie haseł na serwer www.googleapis.com, jeśli włączona jest opcja pokazywania wpisanego hasła, zaimplementowana w Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Usługi w chmurze i LastPass. Spośród 30 przetestowanych dobrze znanych witryn, w tym sieci społecznościowych, banków, platform w chmurze i sklepów internetowych, w 29 stwierdzono wycieki.
W AWS i LastPass problem został już szybko rozwiązany poprzez dodanie parametru „spellcheck=false” do tagu „input”. Aby zablokować wysyłanie danych po stronie użytkownika, należy wyłączyć w ustawieniach zaawansowane sprawdzanie pisowni (sekcja „Języki/Sprawdzanie pisowni/Zaawansowane sprawdzanie pisowni” lub „Języki/Sprawdzanie pisowni/Zaawansowane sprawdzanie pisowni”, zaawansowane sprawdzanie jest domyślnie wyłączone).
Źródło: opennet.ru