Fitur pemeriksa ejaan hadir di keduanya Google Chrome dan browser Microsoft Edge membocorkan informasi pengguna yang sensitif — termasuk nama pengguna, email, dan kata sandi — masing-masing ke Google dan Microsoft, ketika orang mengisi formulir di situs web populer dan aplikasi perusahaan berbasis cloud.
Masalah ini – dijuluki “spell-jacking” oleh para peneliti di firma keamanan sisi klien Otto JavaScript Security (Otto-js) – dapat mengungkap informasi identitas pribadi (PII) dari beberapa aplikasi perusahaan yang paling banyak digunakan, termasuk Alibaba, Amazon Web Services , Google Cloud, LastPass, dan Office 365, menurut posting blog diterbitkan 16 September.
Pendiri Otto-js dan CTO Josh Summit menemukan kebocoran — yang terjadi secara khusus saat Pemeriksaan Ejaan yang Disempurnakan Chrome dan Editor MS Edge diaktifkan di browser —
saat melakukan penelitian tentang bagaimana browser membocorkan data secara umum.
Summit menemukan bahwa fitur pemeriksa ejaan ini mengirimkan data ke Google dan Microsoft yang dimasukkan ke dalam kolom formulir — seperti nama pengguna, email, tanggal lahir, dan nomor Jaminan Sosial — saat seseorang mengisi formulir ini di situs web atau layanan Web saat menggunakan browser , kata para peneliti.
Chrome dan Edge juga akan membocorkan kata sandi pengguna jika fitur "tampilkan kata sandi" diklik saat seseorang memasukkan kata sandi ke situs atau layanan, mengirimkan data tersebut ke server pihak ketiga Google dan Microsoft, kata mereka.
Dimana Risiko Privasi Terletak
Peneliti Otto-js, yang memposting video di YouTube mendemonstrasikan bagaimana kebocoran terjadi, menguji lebih dari 50 situs web yang digunakan orang setiap hari atau setiap minggu yang memiliki akses ke PII. Mereka membagi 30 di antaranya menjadi grup kontrol yang mencakup enam kategori — perbankan online, alat kantor cloud, perawatan kesehatan, pemerintah, media sosial, dan e-niaga — dan memilih situs web untuk setiap kategori berdasarkan peringkat teratas di setiap industri.
Dari 30 situs web grup kontrol yang diuji, 96.7% mengirim data dengan PII kembali ke Google dan Microsoft, sementara 73% mengirim kata sandi saat "tampilkan kata sandi" diklik. Selain itu, yang tidak mengirim kata sandi sebenarnya tidak mengurangi masalah; mereka hanya kekurangan fitur "tampilkan kata sandi", kata para peneliti.
Dari situs web yang diselidiki para peneliti, Google adalah satu-satunya yang telah memperbaiki masalah email dan beberapa layanan. Otto-js menemukan bahwa layanan Web perusahaan Google Cloud Secret Manager tetap rentan.
Sementara itu, Auth0, layanan sistem masuk tunggal yang populer, tidak termasuk dalam kelompok kontrol yang telah diselidiki para peneliti, tetapi merupakan satu-satunya situs web selain Google yang telah mengatasi masalah tersebut dengan benar, kata mereka.
Fitur pemeriksa ejaan Google yang ditingkatkan, yang memerlukan keikutsertaan dari pengguna, menangani data dengan cara anonim, menurut juru bicara Google.
“Teks yang diketik oleh pengguna mungkin merupakan informasi pribadi yang sensitif dan Google tidak melampirkannya ke identitas pengguna mana pun dan hanya memprosesnya di server untuk sementara,” katanya kepada Dark Reading. “Untuk lebih memastikan privasi pengguna, kami akan berupaya mengecualikan kata sandi secara proaktif dari pemeriksaan ejaan. Kami menghargai kolaborasi dengan komunitas keamanan, dan kami selalu mencari cara untuk melindungi privasi pengguna dan informasi sensitif dengan lebih baik.”
Pengguna sejumlah aplikasi berbasis cloud perusahaan juga berisiko saat memasukkan formulir saat menggunakan aplikasi di Chrome dan Edge jika fitur pemeriksa ejaan diaktifkan. Dari layanan yang disebutkan di atas, tim keamanan dari Amazon Web Services (AWS) dan LastPass menanggapi Otto-js dan telah memperbaiki masalahnya, kata para peneliti.
Kemana Data Pergi?
Satu pertanyaan besar yang muncul adalah apa yang terjadi pada data setelah diterima oleh Google dan Microsoft, yang menurut para peneliti tidak dapat dijawab dengan jelas.
Pada titik ini, tidak ada yang tahu apakah data disimpan di pihak penerima atau, jika demikian, siapa yang mengelola keamanannya, catat para peneliti. Juga tidak jelas apakah data dikelola dengan tingkat keamanan yang sama dengan data sensitif yang diketahui seperti kata sandi, atau jika digunakan oleh tim produk sebagai metadata untuk menyempurnakan model, kata mereka.
Either way, para peneliti mengamati bahwa masalah ini sekali lagi menimbulkan kekhawatiran tentang perusahaan teknologi seperti Google dan Microsoft yang memiliki begitu banyak akses ke informasi sensitif tentang pelanggan, karyawan, dan perusahaan, terutama dalam hal kata sandi.
"Kata sandi dimaksudkan untuk menjadi rahasia yang Anda bagikan dengan pihak yang Anda maksudkan, dan tidak dengan orang lain," tulis mereka dalam postingan tersebut. “Rahasia bersama harus di-hash dan tidak dapat diubah, tetapi fitur ini melanggar prinsip keamanan dasar 'perlu-diketahui' dan dapat dianggap sebagai pelanggaran privasi. "
Masalah yang Mudah Diabaikan
Selain itu, kebocoran data dapat meluas ke pengguna atau perusahaan karena beberapa alasan, catat para peneliti. Salah satunya adalah karena fitur browser yang mengekspos data benar-benar bermanfaat bagi pengguna, fitur tersebut cenderung diaktifkan dan mengekspos data tanpa sepengetahuan pengguna.
“Yang memprihatinkan adalah betapa mudahnya mengaktifkan fitur ini dan sebagian besar pengguna akan mengaktifkan fitur ini tanpa benar-benar menyadari apa yang terjadi di latar belakang,” kata Summit.
Paparan kata sandi juga terjadi sebagai "interaksi yang tidak diinginkan" antara pemeriksaan ejaan browser dan fitur situs web, menjadikannya sesuatu yang mungkin dengan mudah terbang di bawah radar, catat Walter Hoehn, wakil presiden teknik di Otto-js
“Fitur pemeriksa ejaan yang disempurnakan di Chrome dan Edge menawarkan peningkatan yang signifikan dibandingkan metode berbasis kamus default,” katanya. “Demikian pula, situs web yang menyediakan opsi untuk menampilkan kata sandi dalam bentuk teks jelas lebih bermanfaat, terutama bagi penyandang disabilitas.”
Jalan Mitigasi
Bahkan jika situs web atau layanan belum memperbaiki masalah dari sisinya, perusahaan dapat mengurangi risiko membagikan PII yang dimasukkan pelanggan mereka ke dalam formulir dengan menambahkan "periksa ejaan=salah" ke semua kolom input, meskipun hal ini dapat menimbulkan masalah bagi pengguna, peneliti diakui.
Sebagai alternatif, perusahaan dapat menambahkan perintah hanya untuk mengisi bidang dengan data sensitif untuk menghilangkan risiko, atau mereka dapat menghapus fitur "tampilkan kata sandi" dalam formulir mereka, kata mereka. Ini tidak akan mencegah pembajakan mantra, tetapi akan mencegah pengiriman kata sandi, kata para peneliti.
Perusahaan juga dapat mengurangi paparan internal akun milik perusahaan dengan menerapkan tindakan pencegahan keamanan titik akhir yang menonaktifkan fitur pemeriksa ejaan yang ditingkatkan dan membatasi karyawan untuk memasang ekstensi browser yang tidak disetujui, menurut Otto-JS.
Konsumen dapat mengurangi risiko pengiriman data mereka ke Microsoft dan Google tanpa sepengetahuan mereka dengan masuk ke browser mereka dan menonaktifkan masing-masing pemeriksa ejaan, tambah para peneliti.
