Google Chrome ja Microsoft Edge tarjoavat molemmat parannetun oikeinkirjoituksen tarkistusominaisuuden, joka tunnistaa ja korjaa automaattisesti väärin kirjoitetut sanat. Vaikka ominaisuus saattaa vaikuttaa hyödylliseltä ja kätevältä, viimeaikaiset tutkimukset osoittavat, että se voi aiheuttaa vakavia tietosuojariskejä.

Kun se on otettu käyttöön manuaalisesti, sekä Chromen Enhanced Spellcheck että Microsoft Editor lähettävät lomaketietosi takaisin emoyhtiölleen, mikä käytännössä katkaisee tiedon oikeinkirjoituksen.

Mikä on oikeinkirjoituksen katkaisu?

Spell-jacking tarkoittaa henkilökohtaisten tunnistetietojen (PII) paljastamista kautta Parannettu oikeinkirjoituksen tarkistustoiminto Chromessa ja Microsoft Editor.

JavaScript-tietoturvayrityksen tekemä tutkimus otto-js havaitsi, että kaikki mihin tahansa lomakekenttään syötetyt tiedot välitettiin Googlen ja Microsoftin kolmannen osapuolen palvelimille, kun parannettu oikolukutoiminto otettiin käyttöön.

Vierailemiesi verkkosivustojen mukaan vuotaneet tiedot voivat sisältää käyttäjänimen, salasanan, osoitteen, syntymäajan, sosiaaliturvatunnuksen (SSN), pankki- ja maksutiedot ja paljon muuta.

Vaikka molemmat ominaisuudet ovat oletuksena pois päältä, on huolestuttavaa, kuinka helppoa ne on ottaa käyttöön ja useimmat käyttäjät ottavat ne käyttöön ymmärtämättä, mitä taustalla tapahtuu.

Kuka on vaarassa?

otto-js tunnisti viisi suurinta verkkopalvelua, jotka ovat vaarassa tämän tietoturvavirheen vuoksi. Niihin kuuluvat Alibaban pilvipalvelu, Office 365, AWS Secret Manager, Google Cloud Secret Manager ja LastPass. Sekä AWS että LastPass ovat kuulemma lieventäneet ongelmaa, kun taas Google on käsitellyt sitä joidenkin palveluidensa osalta.

Vaarassa eivät kuitenkaan ole pelkästään yrityskäyttäjät. otto-js testasi yli 50 verkkosivustoa, joita ihmiset käyttävät usein ja joilla on pääsy arkaluonteisiin tietoihin. Se jakoi 30 näistä verkkosivustoista kuuteen luokkaan ja valitsi viisi parasta verkkosivustoa luokkaa kohden luodakseen vertailun altistumisen tiheydestä ja intensiteetistä. Kuuteen kategoriaan kuuluvat:

  1. Verkkopankkitoiminta
  2. Terveydenhuolto
  3. Cloud Office -työkalut
  4. Hallitus
  5. Sosiaalinen media
  6. Sähköinen kaupankäynti

30 testatun verkkosivuston kontrolliryhmässä otto-js havaitsi, että noin 97 prosenttia lähetti arkaluontoisia käyttäjätietoja takaisin Googlelle ja Microsoftille, kun oikeinkirjoituksen tarkistusominaisuudet olivat käytössä.

Lisäksi yli 73 prosenttia verkkosivustoista lähetti yrityksille salasanoja, kun käyttäjät napsautivat "näytä salasana".

Kuvan luotto: otto-js

Tämä on merkittävä tietoturvaongelma yrityksen tunnistetietojen ja asiakaspuolen turvallisuuden kannalta.

Kuinka lieventää loitsuja

Paras tapa suojata kirjautumistietosi on käyttää a turvallinen salasanan hallinta, hyvä virustorjuntaohjelma, ja salaa liikenne a VPN. Normaalit kyberturvallisuuskäytännöt eivät kuitenkaan tässä tapauksessa riitä.

Yksi tapa minimoida yritysten altistuminen on sisällyttää "spellcheck=false" henkilökohtaisia ​​tietoja vaativiin syöttökenttiin. Tämä estää tehokkaasti näitä kenttiä käyttämästä oikeinkirjoituksen tarkistustyökaluja, mikä tarkoittaa, että oikoluku poistetaan käytöstä kyseisissä merkinnöissä.

Toinen tapa, jolla yritykset voivat lieventää loitsujen katkaisun vaikutuksia, on poistaa käytöstä "näytä salasana" -ominaisuus käyttäjiltä. Tämä ei lopeta oikeinkirjoituksen katkaisua, mutta se estää käyttäjien salasanojen lähettämisen.

Yritykset voivat myös ottaa käyttöön päätepisteiden tietoturvaratkaisuja, jotka voivat poistaa oikolukuominaisuudet käytöstä ja estää työntekijöitään asentamasta vaarantuneita selainlaajennuksia.

Yksittäisten käyttäjien kohdalla voit poistaa tehostetun oikolukuominaisuuden käytöstä Chrome- ja Edge-selaimissa seuraavasti:

Google Chrome

Helpoin tapa suojata henkilötietosi Googlelle lähettämiseltä on poistaa tehostettu oikeinkirjoituksen tarkistusominaisuus toistaiseksi. Voit poistaa ominaisuuden käytöstä Chromen asetuksista seuraavasti:

  1. Klikkaa kolme pistettä selaimen oikeassa yläkulmassa ja valitse asetukset.
  2. Vieritä alas ja napsauta Pitkälle kehittynyt nähdäksesi lisäasetukset.
  3. Valitse Kieli (kielet näytön vasemmassa reunassa olevista vaihtoehdoista.
  4. Alla Oikeinkirjoituksen tarkistus -osiosta, poista valinta Parannettu oikeinkirjoituksen tarkistus vaihtoehto.

Pääset sivulle myös yksinkertaisesti liittämällä seuraavan linkin selaimesi osoitepalkkiin ja painamalla Enter:

kromi://settings/?search=Enhanced+Spell+Check

Microsoft Edge

Microsoft Edgen käyttäjille oikoluku tulee selaimen lisäosana. Vastaanottaja poista laajennus selaimesta, napsauta hiiren kakkospainikkeella laajennuksen kuvaketta ja valitse "Poista Microsoft Edgestä".

Jos et löydä kuvaketta selaimesi etusivulta, voit siirtyä laajennuskirjastoon ja poistaa sen sieltä. Napsauta vain "Laajennukset" selaimen osoitepalkin oikealla puolella löytääksesi laajennukset. Valitse "Lisää toimintoja" sen laajennuksen vierestä, jonka haluat poistaa, ja napsauta "Poista Microsoft Edgestä".

Ja näin pidät henkilötietosi turvassa toistaiseksi.