Google, Microsoft и другие компании получают данные пользователей, включая пароли, через проверку орфографии

Случилось так, что никто не замечал, не то уязвимость, не то баг, не то «фичу» о которой скромно умолчали с проверкой орфографии в браузерах. Проверив Google Chrome и Microsoft Edge, пришли к выводу, что инструмент расширенной проверки орфографии отправляет все данные пользователей на сервера компаний.

Все вводимые данные отправляются на сервера Google или Microsoft, в зависимости от браузера, и туда же могут попасть пароли, если вы нажмете на кнопку «показать пароль» и вместо точек или звездочек у вас появится сам пароль. Как долго существует такая особенность точно сказать нельзя. Теоретически поля, отмеченные в коде как форма для заполнения паролей, передавать не должна была, также как не должны были передаваться почтовые ящики, имена пользователей и другая информация. Она синхронизируется с данными аккаунта, но не проверяется на орфографию. Практически проверялось очень много таких данных.

Уязвимость пока устраняют на стороне самих сервисов и сайтов, но в будущем ожидают реакции от технологических гигантов. То, что проверили Google, Microsoft еще не означает, что такая проблема есть только у них. Аналогичные проблемы могут встречаться и в других браузерах. На момент написания материала, подобную проблему устранили со стороны Amazon (AWS) и LastPass.

По материалам: otto-js.com