ניתוח של חברת האבטחה של JavaScript Otto-JS מצא שכמה תכונות מורחבות של בדיקת איות שנוספו ל-Google Chrome ו-Microsoft Edge גורמות דליפת נתונים. הם מעבירים נתוני טופס, כולל מידע אישי מזהה (PII) ובמקרים מסוימים, סיסמאות, לבעלים של דפדפן האינטרנט המתאים.
קרא עוד: כיצד למנוע דליפת נתונים אישיים על ידי אפליקציות?
ראה עוד
מומחים אומרים ש-AI הוא כוח לטוב
אמא רושמת בת בשם ברבי והבן נקרא כמעט קן
איתור דליפת הנתונים
היה זה ג'וש סאמיט, מייסד שותף ו-CTO של Otto-JS שהבין את כל זה והזהיר שתכונות בדיקת האיות הללו פעילות לעתים קרובות גם אם המשתמשים אינם מודעים לכך.
בשני הדפדפנים יש בדיקת איות בסיסית מובנית המופעלת כברירת מחדל ואינם מעבירים נתונים בחזרה לגוגל או למיקרוסופט. עם זאת, התוסף 'בדיקת איות משופרת' של Chrome ו'עורך מיקרוסופט' של Edge הם תוספות אופציונליות.
עם זאת, משתמשים צריכים לקבל הסכמה מפורשת, ולמרות שברור שהנתונים שלהם יהיו נשלח בחזרה לשתי החברות כדי לשפר את המוצר, זה לא כל כך ברור שזה עשוי לכלול PII שלך.
גישה לכל הנתונים באינטרנט
חברת האבטחה אמרה שכרום ו-Edge עובדים יחד עם רוב שדות הטקסט בדף אינטרנט יכולים לגשת ל"בעצם כל דבר".
המשמעות היא שכל הנתונים שהוזנו באינטרנט, כולל תאריך הלידה שלך, פרטים של תשלום, פרטי יצירת קשר, כניסות וסיסמאות ניתן לשלוח בחזרה לדפדפנים של גוגל ו מיקרוסופט.
Summitt אף אמרה שאם האפשרות "הצג סיסמה" מופעלת, המשאב עדיין יישלח לשרתים של צד שלישי. Bleeping Computer מדווח שגילה ש-Chrome שימש להעברת שמות משתמש SSA.gov, בנק אוף אמריקה ו-Verizon, והסיסמאות נחשפו גם ל-CNN ולפייסבוק בכך דֶרֶך.
מה יהיה הפתרון?
אחת הדרכים למזער את החשיפה היא שמפתחי אתרים יכללו פרט בשם "בדיקת איות=שקר" בכל שדות הקלט שעלולים לדרוש מידע רגיש.
לפיכך, הדבר יחסום למעשה את השדות הללו בפני בודקי איות בדפדפנים, אם כי פירוש הדבר שבדיקת האיות תהיה מושבתת עבור ערכים אלו.
בצד המשתמש, השבת זמנית את בודק האיות המשופר או הסר אותו לחלוטין מהדפדפן נראה שזו הדרך היחידה להגן על הנתונים שלך, לפחות עד שאחת החברות תשנה את מדיניות הפרטיות שלה. פְּרָטִיוּת.