2min

Spellingscontrolefuncties in Google Chrome en Microsoft Edge verzenden gevoelige data naar Google en Microsoft, waaronder persoonlijk identificeerbare informatie (PII) als gebruikersnamen en wachtwoorden.

Hoewel Google en Microsoft de functie opzettelijk gebruiken, roept de technologie vragen op over wat er met de gegevens gebeurt nadat ze zijn verzonden. Het is onduidelijk hoe veilig de functie werkelijk is, vooral met betrekking tot wachtwoorden. Basisspellingscontrole is standaard ingeschakeld in Chrome en Edge, maar het privacyprobleem ontstaat in optionele functies als Chrome Enhanced Spellcheck en Microsoft Editor.

Gevoelige data

Gebruik je Chrome of Edge en heb je geavanceerde spellingscontrolefuncties geactiveerd, dan worden jouw formuliergegevens (form data) naar Google of Microsoft verstuurd. De formuliergegevens kunnen identificeerbare informatie (PII) bevatten, afhankelijk van de website die je bezoekt. Voorbeelden van PII zijn sofinummers, namen, bank- en betalingsgegevens, adressen, e-mails, geboortedata en contactgegevens.

Josh Summitt, medeoprichter en CTO van otto-js, ontdekte het probleem tijdens een test van de technologie van zijn securitybedrijf. Wanneer Chrome Enhanced Spellcheck of Edge Microsoft Editor aanstonden, werd alle data in de formuliervelden (form fields) van browsers naar Google en Microsoft gestuurd.

Spell-jacking

Otto-js verduidelijkte in een blogpost dat de ‘wachtwoord tonen’-functie van formuliervelden ervoor zorgt dat de spellingscontrole wachtwoorden naar Google en Microsoft verstuurt. De ‘wachtwoord tonen’-functie wordt vaak gebruikt op sites die geen kopiëren en plakken van wachtwoorden toestaan, of door gebruikers die bang zijn om hun gegevens verkeerd in te voeren.

’s Werelds populairste sites hebben persoonlijk identificeerbare informatie aan Google en Microsoft verstrekt, waaronder gebruikersnamen, e-mailadressen en wachtwoorden. Een nog groter probleem voor bedrijven is het risico dat inloggegevens voor interne systemen zoals databases en cloudinfrastructuur worden blootgesteld.

Tip: SoftwareONE werkt richting een allesomvattend security-platform