Google, Microsoft Bisa Dapatkan Kata Sandi Melalui Pemeriksa Ejaan Browser Web
Ilustrasi. Bleepingcomputer
Cyberthreat.id – Fitur pemeriksa ejaan yang diperluas di browser web Google Chrome dan Microsoft Edge mengirimkan data formulir, termasuk informasi pengenal pribadi (PII) dan dalam beberapa kasus, kata sandi, masing-masing ke Google dan Microsoft.
Melansir Bleeping Computer, Meskipun ini mungkin merupakan fitur yang diketahui dan dimaksudkan dari browser web ini, hal ini menimbulkan kekhawatiran tentang apa yang terjadi pada data setelah transmisi dan seberapa aman praktiknya, terutama jika menyangkut bidang kata sandi.
Baik Chrome dan Edge dikirimkan dengan pemeriksa ejaan dasar yang diaktifkan. Namun, fitur seperti Chrome's Enhanced Spellcheck atau Microsoft Editor saat diaktifkan secara manual oleh pengguna, menunjukkan potensi risiko privasi ini.
Saat menggunakan browser web utama seperti Chrome dan Edge, data formulir Anda ditransmisikan ke Google dan Microsoft, masing-masing, jika fitur pemeriksa ejaan yang disempurnakan diaktifkan.
Bergantung pada situs web yang Anda kunjungi, data formulir itu sendiri dapat mencakup PII—termasuk namun tidak terbatas pada Nomor Jaminan Sosial (SSN)/Nomor Asuransi Sosial (SIN), nama, alamat, email, tanggal lahir (DOB), informasi kontak, informasi bank dan pembayaran, dan sebagainya.
Josh Summitt, salah satu pendiri & CTO perusahaan keamanan JavaScript otto-js menemukan masalah ini saat menguji deteksi perilaku skrip perusahaannya.
Jika Chrome Enhanced Spellcheck atau Edge's Microsoft Editor (pemeriksa ejaan) diaktifkan, "pada dasarnya apa pun" yang dimasukkan dalam bidang formulir browser ini dikirim ke Google dan Microsoft.
"Selanjutnya, jika Anda mengklik 'tampilkan kata sandi', pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi Anda, pada dasarnya Membajak Eja data Anda," jelas otto-js dalam sebuah posting blog.
"Beberapa situs web terbesar di dunia memiliki paparan untuk mengirimkan PII pengguna sensitif Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, saat pengguna masuk atau mengisi formulir. Kekhawatiran yang lebih signifikan bagi perusahaan adalah paparan yang disajikan untuk kredensial perusahaan perusahaan ke aset internal seperti database dan infrastruktur cloud."
Pengguna mungkin sering mengandalkan opsi "tampilkan kata sandi" di situs tempat menyalin-menempelkan kata sandi tidak diperbolehkan, misalnya, atau ketika mereka menduga mereka salah ketik.
Untuk mendemonstrasikan, otto-js membagikan contoh pengguna yang memasukkan kredensial pada platform Cloud Alibaba di browser web Chrome—meskipun situs web apa pun dapat digunakan untuk demonstrasi ini.
Dengan mengaktifkan pemeriksaan ejaan yang disempurnakan, dan dengan asumsi pengguna mengetuk fitur "tampilkan kata sandi", bidang formulir termasuk nama pengguna dan kata sandi dikirimkan ke Google di googleapis.com.
