У браузері Chrome виявлено проблему з надсиланням конфіденційних даних на сервери Google при включенні розширеного режиму перевірки правопису, який передбачає виконання перевірки з використанням зовнішнього сервісу. Проблема також проявляється у браузері Edge під час використання доповнення Microsoft Editor.
Виявилося, що текст для перевірки передається у тому числі з форм введення, що містять конфіденційні дані, у тому числі з полів, що містять імена користувачів, адреси, email, паспортні дані і навіть паролі, якщо поля введення паролів не обмежені штатним тегом. ». Наприклад, проблема призводить до надсилання на сервер www.googleapis.com паролів у разі включення опції для показу введеного пароля, реалізованої в сервісах Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud та LastPass. З 30 протестованих відомих сайтів, включаючи соціальні мережі, банки, хмарні платформи та інтернет-магазини, 29 виявилися схильні до витоку.
В AWS і LastPass проблема вже оперативно вирішена через додавання параметра spellcheck = false в тег input. Для блокування надсилання даних на стороні користувача слід вимкнути в налаштуваннях розширену перевірку.
Джерело: opennet.ru