Google и Microsoft извличат паролите ви при използването на разширената проверка на правописа

Стефан Николов Последна промяна на 19 септември 2022 в 18:05 628 0

Spell Check

Снимка Spell Check

Spell Check

Специалистите на екипа по информационна безопасност otto-js откриха, че Google и Microsoft чрез своите услуги за проверка на правописа Microsoft Editor Spelling и Grammar Checker прехвърлят от клиентския компютър към своите сървъри паролите и персоналните данни на потребителите чрез облачната система за разширена проверка на правописа. Това например става, когато потребителят след като въведе някоя от своите пароли избере опцията, която показва символите на самата парола. Оказа се, че системата в този случай се опитва да провери правописа на тази парола и я изпраща към сървъра на съответната компания.

В браузърите Chrome и Edge, както и в облачните текстови редактори на Google и Microsoft тази опция по подразбиране е изключена и се използват основните средства за проверка на правописа. Разширената правописна проверка трябва да се активира ръчно, а сега експертите на otto-js показваха, че това е потенциална заплаха за конфиденциалността на личните данни, както и много вероятен вектор за хакерска атака.

В режима за разширена проверка към сървърите на Google и Microsoft се изпраща всичко, което се въвежда в браузъра - имена, банкови сметки, адрес, електронна поща и т.н. Оказа се, че същият ефект се проявява и в средите на корпоративните потребители на Google и Microsoft - съответно в Google Cloud (Secret Manager), AWS (Secrets Manager), Facebook, Office 365, Alibaba Cloud и LastPass.

По принцип, в сайта, а и в браузъра на Google е написано, че при включване разширената проверка на правописа текстът, който потребителят въвежда в браузъра, се изпраща към сървърите на технологичния гигант за подобряване работата на тази функция. Специалистите на изданието Bleeping Сomputer се обърнаха към Google за коментар и получиха следния отговор:

"Текстът, въведен от потребителя в режим на разширена проверка на правописа винаги е бил и е конфиденциална лична информация, която Google по никакъв начин не свързва с личността на потребителя. Тя само временно се обработва от нашите сървъри. Но ние съвсем скоро ще направим нововъведение, което ще изключи паролите от проверката на правописа".

1
1

Към Microsoft бе отправено същото запитване, на което софтуерният гигант отговори, че проблемът се разглежда.

За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !