Недавнее исследование, проведенное группой otto-js, показало, что данные, которые проверяются как редактором Microsoft, так и расширенной настройкой проверки орфографии в Google Chrome, отправляются в Microsoft и Google соответственно.
Эти данные могут включать в себя имена пользователей, адреса электронной почты, DOB, SSN и практически всё, что вводится в текстовое поле, которое проверяется этими функциями.
В качестве дополнительного примечания, эти функции могут отправлять даже пароли, но только при нажатии кнопки «Показать пароль», преобразующей пароль в видимый текст, который затем проверяется.
Ключевая проблема решается вокруг конфиденциальной личной информации пользователя (PII), и это ключевая проблема для учётных данных предприятия при доступе к внутренним базам данных и облачной инфраструктуре.
На приведённых ниже изображениях, предоставленных otto-js, вы можете увидеть, как пользователь входит в Alibaba Cloud, а его данные передаются Google.
Некоторые компании уже принимают меры, чтобы предотвратить это, и команды безопасности AWS и LastPass подтвердили, что они устранили эту проблему с помощью обновления. Эту проблему уже окрестили «спеллджекингом» (spell-jacking).
Что больше всего беспокоит, так это то, что эти настройки так легко включаются пользователями и могут привести к раскрытию данных. Происходить это может даже тогда, когда никто этого не осознает.
Команда otto-js протестировала 30 веб-сайтов в различных секторах и обнаружила, что 96,7% из них отправляли данные с PII обратно в Google и Microsoft.
Интересно, что единственным веб-сайтом, смягчившим проблему из этой группы, был сам Google. Но только для некоторых сервисов, а не для всех его продуктов, которые были протестированы.
В настоящее время исследовательская группа otto-js рекомендует не использовать эти расширения и настройки, пока проблема не будет решена.
Источник новости: www.playground.ru
