Спецпроекты

ПО Софт Безопасность Пользователю Интернет Веб-сервисы Интернет-ПО Техника

Microsoft и Google годами крадут пароли и персональные данные малограмотных пользователей. Как защититься

Средства расширенной проверки орфографии в браузерах и офисных сервисах Google и Microsoft копируют абсолютно всю введенную информацию на серверы компаний. Это, в том числе, пароли, адреса проживания, телефоны, банковская информация, личные сообщения и т. д. Корпорации могли воровать эти данные годами. Проблема пока не устранена

Google и Microsoft поймали на воровстве

Американские корпорации Google и Microsoft, отвернувшиеся от России, уличили в намеренном копировании персональных данных пользователей на свои серверы. Как пишет портал Bleeping Computer, для этого они используют средства проверки правописания в браузерах Chrome и Edge.

Базовая проверка орфографии, по информации обнаруживших проблему исследователей из команды otto-js, в целом безопасна. А вот доверять расширенной проверке, отправляющей введенные пользователем данные, на облачные серверы корпораций, доверять ни в коем случае нельзя.

Обнаруженная уязвимость подвергает риску утечки персональных данных не только обычных пользователей, но также и корпоративных.

goog600.jpg
Google и Microsoft нашли способ кражи паролей даже у самых осторожных пользователей

Да и в целом организации рискуют без своего ведома предоставить доступ к своей инфраструктуре третьим лицам, если пароль одного или нескольких пользователей утечет в облако.

Принцип работы уязвимости

Утечка пароля может произойти, когда пользователь после его ввода нажмет на кнопку «показать пароль». Сразу после этого браузер Google или Microsoft проверит введенные данные на правописание и отправит их в облако. Кто будет иметь к ним доступ там, неизвестно, но тут важен сам факт отправки персональных данных на сторонние серверы без разрешения на то их владельца.

Аналогичным образом могут утечь ФИО, номера телефонов и документов, адреса проживания и электронной почты. Компании могут потерять корпоративную информацию, не предназначенную для третьих лиц.

Как все устроено

Ситуация усугубляется тем, что она распространяется далеко не только на Chrome и Edge, построенный на базе браузера Google. Аналогичная проблема может проявиться и в других обозревателях на основе Chrome, и совершенно точно она есть в облачных офисных сервисах Microsoft и Google.

Как лишить американские корпорации доступа к паролям

Существует единственный гарантированно действенный способ не дать ни Google, ни Microsoft складировать персональные данные пользователей в своих облаках. Для этого необходимо отключить всего одну функцию в Edge и Chrome.

Она носит название «Расширенная проверка правописания». Если она активна, абсолютно весь текст, даже приватное сообщение в чате в любой социальной сети, будет направлено в облако. Исключение не делается даже для банковской информации – исследователи otto-js подчеркнули, что утекает абсолютно вся введенная в браузере информация.

Доверять проверку правописания лучше не браузеру, а собственному языковому чутью

По умолчанию данная функция отключена. Однако редакция CNews рекомендует проверить, действительно ли она деактивирована. Найти ее можно в настройках браузера.

Пока неясно, способны ли браузеры передавать американским корпорациям персональные данные при активированной базовой проверке правописания. По всей видимости, самым надежным способом защиты в данном случае будет отключение этой функции.

Проблему никто не устраняет

И Google, и Microsoft прекрасно осведомлены о том, что разработанные ими браузеры в фоновом режиме направляют им персональные данные пользователей со всего мира, включая Россию. Экспертам портала Bleeping Computer удалось получить комментарии представителей Google.

В корпорации заявили, что данные, отправленные на ее серверы средством проверки правописания, действительно могут быть персональными. Однако, по словам представителей Google, они не привязываются к конкретному пользователю, а лишь «временно обрабатываются на сервере» (Google does not attach it to any user identity and only processes it on the server temporarily).

В компании заверили также, что в будущем доработают расширенную проверку орфографии в Chrome, чтобы та не отсылала пароли на ее серверы. Про прочие персональные данные в заявлении Google не было ни единого слова. Более того, в Google не сообщили, в течение какого времени пароли пользователей утекали на ее серверы. Это вполне могло длиться годами, поскольку Chrome появился 14 лет назад. Сроки устранения проблемы разработчики не назвали.

Microsoft не стала давать развернутый комментарий, лишь заявив, что в курсе инцидента.

Короткая ссылка