Les vérificateurs Edge et Chrome pourraient exposer nos mots de passe

Les Vérificateurs Edge Et Chrome Pourraient Exposer Nos Mots De

Une enquête récente de l’équipe de recherche d’otto-js a révélé un problème sérieux. Les données vérifiées à la fois dans Microsoft Editor et dans le correcteur orthographique amélioré de Google Chrome sont envoyées respectivement à Microsoft et Google. Ces données peuvent inclure n’importe quoi. À partir des noms d’utilisateur, e-mails, date de naissance, numéro de sécurité sociale. Fondamentalement, tout ce qui est saisi dans une zone de texte est vérifié par ces fonctions.

De plus, même les mots de passe peuvent être envoyés de cette façon. Mais seulement lorsque le bouton est enfoncé « Montrer le mot de passe »qui convertit le mot de passe en texte clair, qui est ensuite vérifié.

Google et Microsoft exposent nos mots de passe

Le problème clé est résolu autour des informations personnelles identifiables (PII) sensibles de l’utilisateur. Et c’est une préoccupation majeure pour les informations d’identification de l’entreprise lors de l’accès aux bases de données internes et à l’infrastructure cloud. Dans les images ci-dessous, partagées par otto-js, vous pouvez voir un utilisateur se connectant à Alibaba Cloud, avec ses données partagées avec Google.

Certaines entreprises prennent déjà des mesures pour l’empêcher. Les équipes de sécurité d’AWS et de LastPass ont confirmé qu’elles avaient atténué ce problème avec une mise à jour. Le problème a déjà été baptisé comme ‘spell-jacking’. Le plus inquiétant est que ces paramètres sont si faciles à activer pour les utilisateurs. Et ils pourraient conduire à une exposition des données sans que personne ne s’en aperçoive. L’équipe otto-js a effectué un test avec 30 sites Web de divers secteurs. Constatant que 96,7% d’entre eux ont envoyé des données avec PII à Google et Microsoft.

Fait intéressant, le seul site Web qui avait atténué le problème pour ce groupe était Google lui-même, mais seulement pour certains services et pas tous ses produits qui ont été testés. Pour l’instant, l’équipe de recherche otto-js recommande de ne pas utiliser ces extensions et configurations jusqu’à ce que ce problème soit résolu.