Джош Саммит, сооснователь otto-js, тестировал скрипты на сайтах и выявил одну странную уязвимость. Несколько крупнейших порталов отправляют все вводимые на них сведения в Microsoft и Google. Это делается, если активирована проверка орфографии.
- Пересылаются номера паспортов, логины, пароли, даты рождения и т.д.
- Данные отправляются только при включении пункта «Показать пароль».
- Google и Microsoft знают о проблеме, но не торопятся ее решать.
Эксперты otto-js установили, что конфиденциальная информация отправляется в Microsoft и Google при сочетании 2 условий: должны быть активированы функции проверки правописания и показа паролей в формах, куда их вводят пользователи. Обе эти опции можно включить вручную, сделав несколько кликов.
Помимо паролей, могут пересылаться и иные данные. Например, логины в сервисах, даты рождения, паспортные сведения и тому подобное.
Компании, которые получают эту информацию, заявили о том, что они в курсе проблемы. Но добавили, что к конкретным пользователям поступающие к ним данные не относятся, да и вообще проходят обработку на серверах лишь ограниченный отрезок времени. Из этого можно сделать вывод, что «латать» такую уязвимость они не собираются. Поэтому пользователям Google Chrome и Microsoft Edge стоит быть осторожными и не включать расширенную проверку орфографии и при этом пользоваться отображением паролей.
Читать также