Foi identificado um problema no navegador Chrome com dados confidenciais sendo enviados aos servidores do Google quando o modo de verificação ortográfica avançada está ativado, o que envolve a verificação usando um serviço externo. O problema também aparece no navegador Edge ao usar o complemento Microsoft Editor.
Descobriu-se que o texto para verificação é transmitido, entre outras coisas, de formulários de entrada contendo dados confidenciais, inclusive de campos contendo nomes de usuários, endereços, e-mail, dados de passaporte e até mesmo senhas, caso os campos de entrada de senha não sejam limitados pelo padrão marcação " " Por exemplo, o problema faz com que as senhas sejam enviadas para o servidor www.googleapis.com se a opção de mostrar a senha inserida estiver habilitada, implementada no Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Serviços em nuvem e LastPass. Dos 30 sites conhecidos testados, incluindo redes sociais, bancos, plataformas em nuvem e lojas online, 29 foram vazados.
Na AWS e no LastPass, o problema já foi resolvido rapidamente adicionando o parâmetro “spellcheck=false” à tag “input”. Para bloquear o envio de dados por parte do usuário, você deve desabilitar a verificação avançada nas configurações (seção “Idiomas/Verificação ortográfica/Verificação ortográfica aprimorada” ou “Idiomas/Verificação ortográfica/Verificação ortográfica aprimorada”, a verificação avançada está desabilitada por padrão).
Fonte: opennet.ru