De uitgebreide spellingcheckers van Google Chrome en Microsoft Edge kunnen informatie die gebruikers op websites invoeren naar deze bedrijven verzenden. Hierbij kan het ook gaan om wachtwoorden. Securitybedrijf otto-js heeft dit recentelijk gepubliceerd.
Uitgebreidere spellingchecker
Chrome en Edge zijn uitgerust met een standaard spellingchecker. Gebruikers kunnen er voor kiezen om een uitgebreidere spellingchecker te activeren. Deze laatste kan echter informatie die gebruikers op websites invoeren naar Google en Microsoft terugzenden. Daarbij gaat het volgens otto-js in principe om alle soorten informatie, waaronder ook gebruikersnamen, e-mailadressen en geboortedata. Wanneer de gebruiker de optie ‘show password’ aanklikt om het ingevoerde wachtwoord te bekijken, wordt dit wachtwoord naar de techbedrijven gestuurd.
LastPass
“Het is verontrustend dat klanten onbedoeld vertrouwelijke gegevens kunnen prijsgeven door het inschakelen van onschuldige browserfuncties en niet begrijpen dat alles wat ze typen – inclusief wachtwoorden – naar derden kan worden verzonden”, aldus Christofer Hoff Chief Secure Technology Officer van wachtwoordmanager LastPass.
Remedies
Uit het onderzoek van otto-js kwam naar voren dat dit probleem zich voordoet bij Office 365, Alibaba Cloud, Google Cloud, Amazon Web Services en LastPass. Amazon en LastPass hebben aangekondigd maatregelen door te voeren, nadat ze op de hoogte waren gebracht van dit probleem. Er zijn verschillende remedies om het lekken van gevoelige gegevens te voorkomen. Websites kunnen bijvoorbeeld de optie ‘spellcheck=false’ voor alle invoervelden gebruiken. Een ander middel is om de optie ‘ingevoerde wachtwoord weergeven’, uit te zetten. Eindgebruikers kunnen er ook voor kiezen om de uitgebreidere spellingchecker niet te activeren.