Recursos de verificação ortográfica presentes em ambos os Google Chrome e os navegadores Microsoft Edge estão vazando informações confidenciais do usuário – incluindo nome de usuário, e-mail e senhas – para Google e Microsoft, respectivamente, quando as pessoas preenchem formulários em sites populares e aplicativos empresariais baseados em nuvem.
O problema - apelidado de "seqüestro de feitiço" por pesquisadores da empresa de segurança Otto JavaScript Security (Otto-js) - pode expor informações de identificação pessoal (PII) de alguns dos aplicativos corporativos mais usados, incluindo Alibaba, Amazon Web Services , Google Cloud, LastPass e Office 365, de acordo com um post de blog publicado em 16 de setembro.
O co-fundador da Otto-js e CTO Josh Summit descobriu o vazamento – que ocorre especificamente quando a verificação ortográfica aprimorada do Chrome e o editor MS do Edge estão ativados nos navegadores –
enquanto realiza pesquisas sobre como os navegadores vazam dados em geral.
A Summit descobriu que esses recursos de verificação ortográfica enviam dados para o Google e a Microsoft que são inseridos em campos de formulário - como nome de usuário, e-mail, data de nascimento e número do Seguro Social - quando alguém preenche esses formulários em sites ou serviços da Web enquanto usa os navegadores. , disseram os pesquisadores.
O Chrome e o Edge também vazarão senhas de usuários se o recurso “mostrar senha” for clicado quando alguém inserir uma senha em um site ou serviço, enviando esses dados para servidores de terceiros da Google e da Microsoft, disseram eles.
Onde está o risco de privacidade
Pesquisadores da Otto-js, que postaram um vídeo no YouTube demonstrando como ocorre o vazamento, testou mais de 50 sites que as pessoas usam diariamente ou semanalmente que têm acesso a PII. Eles dividiram 30 deles em um grupo de controle abrangendo seis categorias – banco online, ferramentas de escritório em nuvem, saúde, governo, mídia social e comércio eletrônico – e sites selecionados para cada categoria com base no ranking superior de cada setor.
Dos 30 sites do grupo de controle testados, 96.7% enviaram dados com PII de volta ao Google e à Microsoft, enquanto 73% enviaram senhas quando "mostrar senha" foi clicado. Além disso, aqueles que não enviaram senhas não atenuaram o problema; eles apenas não tinham o recurso “mostrar senha”, disseram os pesquisadores.
Dos sites que os pesquisadores investigaram, o Google é o único que já corrigiu o problema de e-mail e alguns serviços. No entanto, a Otto-js descobriu que o serviço da Web Google Cloud Secret Manager da empresa permanece vulnerável.
Enquanto isso, o Auth0, um serviço popular de logon único, não estava no grupo de controle que os pesquisadores investigaram, mas foi o único site além do Google que mitigou corretamente o problema, disseram eles.
O recurso de verificação ortográfica aprimorada do Google, que requer uma autorização do usuário, lida com os dados de forma anônima, de acordo com um porta-voz do Google.
“O texto digitado pelo usuário pode ser uma informação pessoal sensível e o Google não o anexa a nenhuma identidade do usuário e apenas o processa no servidor temporariamente”, diz ele ao Dark Reading. “Para garantir ainda mais a privacidade do usuário, trabalharemos para excluir as senhas proativamente da verificação ortográfica. Agradecemos a colaboração com a comunidade de segurança e estamos sempre procurando maneiras de proteger melhor a privacidade do usuário e informações confidenciais.”
Os usuários de vários aplicativos corporativos baseados em nuvem também correm risco ao inserir formulários enquanto usam os aplicativos no Chrome e no Edge se os recursos de verificação ortográfica estiverem ativados. Desses serviços mencionados, as equipes de segurança da Amazon Web Services (AWS) e LastPass responderam ao Otto-js e já corrigiram o problema, disseram os pesquisadores.
Para onde vão os dados?
Uma grande questão que surge é o que acontece com os dados depois que são recebidos pelo Google e pela Microsoft, que os pesquisadores disseram que não podem responder com clareza.
Neste ponto, ninguém sabe se os dados estão sendo armazenados no lado receptor ou, se for o caso, quem está gerenciando sua segurança, observaram os pesquisadores. Também não está claro se os dados são gerenciados com o mesmo nível de segurança de dados confidenciais conhecidos, como senhas, ou se estão sendo usados por equipes de produtos como metadados para refinar modelos, disseram eles.
De qualquer forma, os pesquisadores observaram que a questão mais uma vez levanta a preocupação sobre empresas de tecnologia como Google e Microsoft terem tanto acesso a informações confidenciais sobre clientes, funcionários e empresas, principalmente quando se trata de senhas.
“As senhas devem ser um segredo que você compartilha com a pessoa que pretende, e mais ninguém”, escreveram no post. “Um segredo compartilhado deve ser hash e irreversível, mas esse recurso viola um princípio de segurança fundamental de 'necessidade de saber' e pode ser considerado um violação de privacidade. "
Problema Facilmente Negligenciado
Além disso, o vazamento de dados pode ser generalizado para usuários ou empresas por vários motivos, observaram os pesquisadores. Uma delas é que, como os recursos do navegador que expõem os dados são realmente úteis para os usuários, é provável que eles sejam ativados e exponham os dados sem o conhecimento do usuário.
“O que é preocupante é a facilidade com que esses recursos são ativados e que a maioria dos usuários irá ativá-los sem realmente perceber o que está acontecendo em segundo plano”, diz Summit.
A exposição da senha também ocorre como uma “interação não intencional” entre a verificação ortográfica do navegador e um recurso do site, tornando-a algo que pode facilmente passar despercebido, observa Walter Hoehn, vice-presidente de engenharia da Otto-js
“Os recursos aprimorados de verificação ortográfica no Chrome e no Edge oferecem uma atualização significativa em relação aos métodos padrão baseados em dicionário”, diz ele. “Da mesma forma, sites que oferecem a opção de exibir senhas em texto não criptografado são mais utilizáveis, especialmente para pessoas com deficiências”.
Caminho de Mitigação
Mesmo que um site ou serviço não tenha corrigido o problema de seu lado, as empresas podem reduzir o risco de compartilhar as PII de seus clientes inseridas em formulários adicionando “spellcheck=false” a todos os campos de entrada, embora isso possa criar problemas para usuários, pesquisadores reconhecido.
Como alternativa, as empresas podem simplesmente adicionar o comando apenas para formar campos com dados confidenciais para remover o risco, ou podem remover o recurso “mostrar senha” em seus formulários, disseram eles. Isso não impedirá o roubo de feitiços, mas impedirá o envio de senhas, disseram os pesquisadores.
As empresas também podem mitigar a exposição interna de contas de propriedade da empresa implementando precauções de segurança de endpoint que desativam recursos aprimorados de verificação ortográfica e limitam os funcionários de instalar extensões de navegador não aprovadas, de acordo com a Otto-JS.
Os consumidores podem mitigar seu próprio risco de ter seus dados enviados para a Microsoft e o Google sem seu conhecimento, acessando seus navegadores e desativando os respectivos corretores ortográficos, acrescentaram os pesquisadores.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
