这些数据会包括用户名、电子邮件、DOB、SSN,以及基本上输入到由这些功能检查的文本框中的任何内容。
更糟糕的是,你的密码也可能被传送到微软和Google,根据otto-js研究小组的说法,称这个过程为“拼写劫持”。
只要使用的是Edge和Chrome并且有它们的增强拼写检查功能,拼写劫持就可能发生在所有网站上。
为了证明这一点,otto-js分享了当他们使用员工凭证登录公司的阿里云账户,结果数据被发送到了Google。
如果启用‘显示密码’,那么该功能甚至会将你的密码发送到他们的第三方服务器上。
otto JavaScript Security的工作人员反馈到:
“显示密码、增强拼写检查这些功能很容易启用,而且大多数用户会启用这些功能而没有真正意识到在后台发生了什么。”
otto-js 的团队对不同行业的 30 个网站进行了测试,发现其中 96.7% 的网站将带有 PII 的数据发送回谷歌和微软。
这家JavaScript安全公司还进一步强调了可能受到该问题影响的公司和服务的名称。它包括阿里巴巴--云服务、Office 365和Google云--Secret Manager。
AWS - Secrets Manager和LastPass一开始虽然也被列入名单,但otto-js表示,这两家公司已经完全缓解了这个问题。
Otto-js建议道:
公司可以减轻分享客户PII的风险--通过在所有输入字段中添加'spellcheck=false',尽管这可能给用户带来问题。或者你可以只把它添加到有敏感数据的表单字段。公司也可以删除‘显示密码’的功能。这不会防止拼写劫持,但它能防止用户密码被发送。
总之,在问题解决之前,不要激活Edge、Chrome的增强拼写检查功能。