ميزات التدقيق الإملائي موجودة في كل من جوجل كروم وتقوم متصفحات Microsoft Edge بتسريب معلومات المستخدم الحساسة - بما في ذلك اسم المستخدم والبريد الإلكتروني وكلمات المرور - إلى Google وMicrosoft، على التوالي، عندما يقوم الأشخاص بملء النماذج على مواقع الويب الشهيرة وتطبيقات المؤسسات المستندة إلى السحابة.
يمكن لهذه المشكلة - التي أطلق عليها الباحثون في شركة الأمان Otto JavaScript Security (Otto-js) اسم "التصيد الإملائي" - أن تكشف معلومات التعريف الشخصية (PII) من بعض تطبيقات المؤسسات الأكثر استخدامًا على نطاق واسع، بما في ذلك Alibaba وAmazon Web Services. وGoogle Cloud وLastPass وOffice 365، وفقًا لـ لبلوق وظيفة نشرت في 16 سبتمبر.
اكتشف المؤسس المشارك لـ Otto-js وCTO Josh Summit التسرب - والذي يحدث على وجه التحديد عند تمكين التدقيق الإملائي المحسن في Chrome ومحرر MS Edge على المتصفحات -
أثناء إجراء البحوث على كيف تقوم المتصفحات بتسريب البيانات في العام.
وجدت Summit أن ميزات التدقيق الإملائي هذه ترسل البيانات إلى Google وMicrosoft التي يتم إدخالها في حقول النموذج - مثل اسم المستخدم والبريد الإلكتروني وتاريخ الميلاد ورقم الضمان الاجتماعي - عندما يقوم شخص ما بملء هذه النماذج على مواقع الويب أو خدمات الويب أثناء استخدام المتصفحات وقال الباحثون.
وقالوا إن متصفحي Chrome وEdge سوف يسربان كلمات مرور المستخدم إذا تم النقر على ميزة "إظهار كلمة المرور" عندما يقوم شخص ما بإدخال كلمة مرور في موقع أو خدمة، وإرسال تلك البيانات إلى خوادم Google وخوادم Microsoft الخارجية.
أين تكمن مخاطر الخصوصية
الباحثون في Otto-js، الذين نشروا فيديو على يوتيوب لتوضيح كيفية حدوث التسرب، تم اختبار أكثر من 50 موقعًا إلكترونيًا يستخدمها الأشخاص يوميًا أو أسبوعيًا والتي يمكنها الوصول إلى معلومات تحديد الهوية الشخصية (PII). وقد قسموا 30 منهم إلى مجموعة مراقبة تشمل ست فئات - الخدمات المصرفية عبر الإنترنت، وأدوات المكتب السحابية، والرعاية الصحية، والحكومة، ووسائل التواصل الاجتماعي، والتجارة الإلكترونية - ومواقع ويب مختارة لكل فئة بناءً على الترتيب الأعلى في كل صناعة.
من بين 30 موقع ويب لمجموعة المراقبة التي تم اختبارها، أرسل 96.7% بيانات مع معلومات تحديد الهوية الشخصية إلى Google وMicrosoft، في حين أرسل 73% كلمات المرور عند النقر على "إظهار كلمة المرور". علاوة على ذلك، فإن الأشخاص الذين لم يرسلوا كلمات المرور لم يخففوا من المشكلة فعليًا؛ وقال الباحثون إنهم يفتقرون إلى ميزة "إظهار كلمة المرور".
ومن بين مواقع الويب التي قام الباحثون بالتحقيق فيها، كان موقع Google هو الموقع الوحيد الذي قام بالفعل بإصلاح مشكلة البريد الإلكتروني وبعض الخدمات. وجدت Otto-js أن خدمة الويب الخاصة بالشركة Google Cloud Secret Manager لا تزال معرضة للخطر.
وفي الوقت نفسه، لم تكن خدمة Auth0، وهي خدمة تسجيل الدخول الموحد الشهيرة، ضمن المجموعة الضابطة التي بحث فيها الباحثون، ولكنها كانت الموقع الوحيد بخلاف Google الذي خفف المشكلة بشكل صحيح، على حد قولهم.
وتتعامل ميزة التدقيق الإملائي المحسنة من Google، والتي تتطلب الاشتراك من المستخدم، مع البيانات بطريقة مجهولة المصدر، وفقًا لمتحدث باسم Google.
يقول لـ Dark Reading: "قد يكون النص الذي يكتبه المستخدم عبارة عن معلومات شخصية حساسة ولا تقوم Google بإرفاقه بأي هوية مستخدم وتعالجه فقط على الخادم مؤقتًا". "لضمان خصوصية المستخدم بشكل أكبر، سنعمل على استبعاد كلمات المرور بشكل استباقي من التدقيق الإملائي. نحن نقدر التعاون مع مجتمع الأمان، ونبحث دائمًا عن طرق لحماية خصوصية المستخدم والمعلومات الحساسة بشكل أفضل.
يتعرض مستخدمو عدد من التطبيقات المستندة إلى السحابة الخاصة بالمؤسسات أيضًا للخطر عند إدخال النماذج أثناء استخدام التطبيقات على Chrome وEdge إذا تم تمكين ميزات التدقيق الإملائي. وقال الباحثون إنه من بين تلك الخدمات المذكورة أعلاه، استجابت فرق الأمان من Amazon Web Services (AWS) وLastPass لـ Otto-js وعالجت المشكلة بالفعل.
أين تذهب البيانات؟
أحد الأسئلة الكبيرة التي تطرح هو ماذا يحدث للبيانات بمجرد تلقيها من قبل جوجل ومايكروسوفت، والتي قال الباحثون إنهم لا يستطيعون الإجابة عليها بوضوح.
وأشار الباحثون إلى أنه في هذه المرحلة، لا أحد يعرف ما إذا كانت البيانات مخزنة على الطرف المتلقي، أو، إذا كان الأمر كذلك، من الذي يدير أمنها. وقالوا إنه ليس من الواضح أيضًا ما إذا كانت البيانات تتم إدارتها بنفس مستوى الأمان مثل البيانات الحساسة المعروفة مثل كلمات المرور، أو ما إذا كانت فرق المنتج تستخدمها كبيانات وصفية لتحسين النماذج.
وفي كلتا الحالتين، لاحظ الباحثون أن المشكلة تثير مرة أخرى القلق بشأن حصول شركات التكنولوجيا مثل جوجل ومايكروسوفت على قدر كبير من الوصول إلى المعلومات الحساسة حول العملاء والموظفين والشركات، خاصة عندما يتعلق الأمر بكلمات المرور.
وكتبوا في المنشور: "المقصود من كلمات المرور أن تكون سرًا تشاركه مع الطرف الذي تقصده، وليس أي شخص آخر". "يجب أن يتم تجزئة السر المشترك بحيث لا رجعة فيه، ولكن هذه الميزة تنتهك مبدأ الأمان الأساسي المتمثل في "الحاجة إلى المعرفة" ويمكن اعتبارها بمثابة انتهاك الخصوصية".
مشكلة يتم التغاضي عنها بسهولة
علاوة على ذلك، أشار الباحثون إلى أن تسرب البيانات يمكن أن يكون واسع النطاق للمستخدمين أو المؤسسات لعدد من الأسباب. أحدها هو أنه نظرًا لأن ميزات المتصفح التي تكشف البيانات مفيدة بالفعل للمستخدمين، فمن المحتمل أن يتم تشغيلها وكشف البيانات دون علم المستخدم.
يقول ساميت: "ما يثير القلق هو مدى سهولة تمكين هذه الميزات وأن معظم المستخدمين سيمكنون هذه الميزات دون أن يدركوا حقًا ما يحدث في الخلفية".
ويحدث الكشف عن كلمة المرور أيضًا باعتباره "تفاعلًا غير مقصود" بين التدقيق الإملائي للمتصفح وميزة موقع الويب، مما يجعله شيئًا قد يمر بسهولة تحت الرادار، كما يشير والتر هون، نائب رئيس الهندسة في Otto-js
ويقول: "توفر ميزات التدقيق الإملائي المحسنة في Chrome وEdge ترقية كبيرة مقارنة بالطرق الافتراضية المستندة إلى القاموس". "وبالمثل، فإن مواقع الويب التي توفر خيار عرض كلمات المرور بنص واضح تكون أكثر قابلية للاستخدام، خاصة للأشخاص ذوي الإعاقة."
مسار التخفيف
حتى لو لم يقم موقع الويب أو الخدمة بإصلاح المشكلة من جانبها، يمكن للمؤسسات التخفيف من مخاطر مشاركة معلومات تحديد الهوية الشخصية لعملائها المدخلة في النماذج عن طريق إضافة "التدقيق الإملائي = خطأ" إلى جميع حقول الإدخال، على الرغم من أن هذا قد يخلق مشاكل للمستخدمين والباحثين اعترف.
وبدلاً من ذلك، يمكن للشركات فقط إضافة الأمر فقط لنماذج الحقول التي تحتوي على بيانات حساسة لإزالة المخاطر، أو يمكنهم إزالة ميزة "إظهار كلمة المرور" في نماذجهم، على حد قولهم. وقال الباحثون إن هذا لن يمنع التهجئة الإملائية، لكنه سيمنع إرسال كلمات المرور.
يمكن للشركات أيضًا تخفيف التعرض الداخلي للحسابات المملوكة للشركة من خلال تنفيذ احتياطات أمنية لنقطة النهاية تعمل على تعطيل ميزات التدقيق الإملائي المحسنة وتقييد الموظفين من تثبيت ملحقات المتصفح غير المعتمدة، وفقًا لـ Otto-JS.
وأضاف الباحثون أنه يمكن للمستهلكين التخفيف من مخاطر إرسال بياناتهم إلى Microsoft وGoogle دون علمهم عن طريق الدخول إلى المتصفحات الخاصة بهم وتعطيل مسببات التدقيق الإملائي المعنية.
