พบปัญหาในเบราว์เซอร์ Chrome ที่มีการส่งข้อมูลละเอียดอ่อนไปยังเซิร์ฟเวอร์ของ Google เมื่อเปิดใช้งานโหมดตรวจสอบการสะกดขั้นสูง ซึ่งเกี่ยวข้องกับการตรวจสอบโดยใช้บริการภายนอก ปัญหายังปรากฏในเบราว์เซอร์ Edge เมื่อใช้โปรแกรมเสริม Microsoft Editor
ปรากฎว่าข้อความสำหรับการตรวจสอบถูกส่ง เหนือสิ่งอื่นใด จากแบบฟอร์มอินพุตที่มีข้อมูลที่เป็นความลับ รวมถึงจากฟิลด์ที่มีชื่อผู้ใช้ ที่อยู่ อีเมล ข้อมูลหนังสือเดินทาง และแม้แต่รหัสผ่าน หากช่องป้อนรหัสผ่านไม่ได้ถูกจำกัดด้วยมาตรฐาน แท็ก “ " ตัวอย่างเช่น ปัญหานำไปสู่การส่งรหัสผ่านไปยังเซิร์ฟเวอร์ www.googleapis.com หากเปิดใช้งานตัวเลือกในการแสดงรหัสผ่านที่ป้อน ซึ่งใช้งานใน Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba บริการคลาวด์และ LastPass จากการทดสอบเว็บไซต์ชื่อดัง 30 แห่ง รวมถึงโซเชียลเน็ตเวิร์ก ธนาคาร แพลตฟอร์มคลาวด์ และร้านค้าออนไลน์ พบว่ามี 29 แห่งที่รั่วไหลออกมา
ใน AWS และ LastPass ปัญหาได้รับการแก้ไขอย่างรวดเร็วโดยการเพิ่มพารามิเตอร์ “spellcheck=false” ให้กับแท็ก “input” หากต้องการบล็อกการส่งข้อมูลทางฝั่งผู้ใช้ คุณควรปิดการใช้งานการตรวจสอบขั้นสูงในการตั้งค่า (ส่วน “ภาษา/การตรวจสอบตัวสะกด/การตรวจสอบตัวสะกดแบบปรับปรุง” หรือ “ภาษา/การตรวจสอบตัวสะกด/การตรวจสอบตัวสะกดแบบปรับปรุง” การตรวจสอบขั้นสูงจะถูกปิดใช้งานตามค่าเริ่มต้น)
ที่มา: opennet.ru