Spell-Jacking 21.09.2022, 08:51 Uhr

Microsoft Edge und Chrome geben Benutzernamen, Passwörter und mehr weiter

Wenn Sie in Edge den Microsoft Editor oder in Chrome die erweiterte Rechtschreibung nutzen: Daten, die Sie in Formularfelder eintippen, werden direkt an Microsoft oder Google gesendet. Das gilt sogar für Passwörter, wie die Webseite otto-js.com herausgefunden hat.
Symbolbild
(Quelle: Pixabay)
Die erweiterte Rechtschreibung von Chrome und der Microsoft Editor (Add-on) von Edge senden Daten, die Sie in Formularfelder eintippen, direkt an Google und Microsoft, berichtet «Neowin» (engl.) unter Berufung auf die Webseite otto-js.com. Darunter sind Benutzernamen, E-Mail-Adressen, Geburtsdatum oder Sozialversicherungsnummer. Im Grunde wird alles, was in den Feldern steht, an Webseiten, bei denen Sie sich mit einem dieser Browser anmelden, verschickt, wenn diese Funktionen aktiviert sind. Dieser Vorgang wird auch «Spell-Jacking» genannt.

Auch Passwörter werden übermittelt

Zudem werden sogar Passwörter verschickt, wenn die Schaltfläche Kennwort anzeigen (Augen-Symbol) angeklickt wird. Denn dabei wird das Kennwort in sichtbaren Text umgewandelt, der dann von der Rechtschreibung überprüft wird.
Seien Sie sich bewusst: Wenn Sie das Add-on Microsoft Editor in Edge verwenden und im Edge-Browser das Kennwort anzeigen lassen, wird das Passwort in sichtbaren Text umgewandelt
Quelle: Screenshot/PCtipp.ch
Das Team von otto-js hat 30 Webseiten aus den Bereichen Onlinebanking, Cloud-Office-Tools, Gesundheitswesen, Regierung, Soziale Medien und E-Commerce getestet. Dem Bericht zufolge schickten von den 30 getesteten Webseiten der Kontrollgruppe 96,7 % davon Daten mit personenbezogenen Daten an Google und Microsoft zurück.

Die Top 5 der betroffenen Webseiten

Am stärksten betroffen sind, bzw. waren, nach Angaben von otto-js.com folgende fünf Webseiten:
  1. Office 365
  2. Alibaba - Cloud Service
  3. Google Cloud - Secret Manager*
  4. AWS - Secrets Manager Das Problem wurde bereits vollständig behoben
  5. LastPass: Das Problem wurde bereits vollständig behoben
*Der Single-Sign-On-Dienst Auth0 gehörte nach Angaben des Otto-Teams nicht zur Kontrollgruppe, sei aber neben Google die einzige Website gewesen, die das Problem korrekt entschärft habe.
Ein Otto-Mitarbeiter meldet sich beim Alibaba-Cloud-Konto des Unternehmens an
Quelle: otto-js.com
Dieser Screenshot zeigt, wie die Anmeldedaten (Kennwort) des Mitarbeiters an Google gesendet werden, während er sich beim Alibaba-Cloud-Konto des Unternehmens anmeldet.
Quelle: otto-js.com
Lesen Sie auf der nächsten Seite, welche Unternehmen Massnahmen getroffen haben und was PCtipp rät.




Das könnte Sie auch interessieren