据报道,otto-js 安全团队最近的研究发现,正在由 Microsoft 编辑器和 Google Chrome 中增强的拼写检查设置检查的数据分别被发送回 微软和谷歌。这些数据包括了用户名、电子邮件、DOB、SSN,以及基本上输入到由这些功能检查的文本框中的任何内容。作为附加说明,这些功能甚至可以发送密码,但只有当按下“显示密码”按钮时,才能将密码转换为可见文本,然后对其进行检查。 关键问题围绕敏感的用户个人身份信息 (PII) 解决,这是访问内部数据库和云基础设施时企业凭据的关键问题。在 otto-js 分享的下图中,可以看到用户登录到阿里云,然后他们的数据被分享给了谷歌。一些公司已经采取措施防止这种情况发生,AWS 和 LastPass 安全团队都确认他们已经通过更新缓解了这种情况。这个问题被称为“拼写劫持”。最令人担忧的是,这些设置很容易被用户启用,并且可能导致数据泄露而没有人意识到这一点。 |
