De uitgebreide spellingcheckers van Google Chrome en Microsoft Edge kunnen informatie die gebruikers op websites invoeren, waaronder hun wachtwoorden, naar de techbedrijven sturen. Dat stelt securitybedrijf otto-js. Chrome en Edge worden met een standaard spellingchecker geleverd. Gebruikers kunnen echter een uitgebreidere spellingchecker inschakelen.
Deze uitgebreidere spellingcheckers kunnen informatie die gebruikers op websites invoeren, waaronder ook persoonlijke informatie, naar Google en Microsoft terugsturen. Het gaat in principe om alles, zoals gebruikersnamen, e-mailadressen en geboortedata, aldus het securitybedrijf. Wanneer de optie "show password" door de gebruiker wordt aangeklikt, om zo het ingevoerde wachtwoord te bekijken, gaat ook het wachtwoord richting de techbedrijven.
"Het is verontrustend dat klanten onbedoeld vertrouwelijke gegevens kunnen prijsgeven door het inschakelen van onschuldige browserfuncties en niet begrijpen dat alles wat ze typen - inclusief wachtwoorden - naar derden kunnen worden verzonden", zegt Christofer Hoff Chief Secure Technology Officer van wachtwoordmanager LastPass. Otto-js deed onderzoek en stelde het probleem vast bij Office 365, Alibaba Cloud, Google Cloud, Amazon Web Services en LastPass. Na te zijn ingelicht besloten Amazon en LastPass maatregelen door te voeren.
Er zijn verschillende maatregelen om het lekken van gevoelige data tegen te gaan. Websites kunnen de optie "spellcheck=false" voor alle invoervelden gebruiken. Ook de optie om het ingevoerde wachtwoord weer te geven kan worden uitgeschakeld. Daarnaast kunnen eindgebruikers ervoor kiezen om de uitgebreidere spellingchecker niet in te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.