Jakarta, CNN Indonesia —
Aplikasi peramban (browser) milik Google dan Microsoft berpotensi mengumpulkan password lewat fitur cek ejaan. Apa dapat berujung kebocoran data?
Fitur cek pengejaan pada peramban Google Chrome dan Microsoft Edge mengirimkan data ke server masing-masing perusahaan, mulai dari teks yang mengandung informasi pribadi hingga data sensitif seperti password.
Data pribadi yang dikirimkan bergantung pada situs web yang dikunjungi dan teks yang diketik oleh pengguna. Terkadang data itu dapat mencakup Nomor Induk Kependudukan (NIK), nama, alamat, email, tanggal lahir, informasi kontak, informasi bank dan pembayaran, dan sebagainya.
Hal ini kemudian menimbulkan kekhawatiran tentang seberapa aman data tersebut dikelola oleh penyedia layanan, terlebih password dapat digunakan oleh aktor jahat untuk melakukan berbagai serangan siber.
Dilansir dari Bleeping Computer, fitur ini semakin berisiko jika mengaktifkan fitur cek ejaan yang lebih canggih, seperti Enhanced Spellcheck pada Chrome dan Microsoft Editor pada Edge.
Pendiri & CTO perusahaan keamanan JavaScript otto-js Josh Summitt menemukan masalah fitur cek pengejaan saat menguji deteksi perilaku skrip perusahaannya.
Jika Chrome Enhanced Spellcheck atau Edge Microsoft Editor diaktifkan, pada dasarnya apa pun yang dimasukkan dalam bidang formulir browser akan dikirimkan ke Google dan Microsoft.
“Selanjutnya, jika Anda mengklik ‘tampilkan kata sandi’, fitur enhanced spellcheck bahkan mengirimkan kata sandi Anda, pada dasarnya membajak ejaan data Anda,” jelas otto-js dalam unggahan di blog pribadinya.
“Beberapa situs web terbesar di dunia mengirimkan PII (data pribadi) penggunanya yang sensitif ke Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, saat pengguna masuk atau mengisi formulir,” ujar dia.
“Kekhawatiran yang lebih signifikan bagi perusahaan adalah terbukanya data yang digunakan untuk kredensial perusahaan perusahaan ke aset internal seperti database dan infrastruktur cloud,” tambah Summitt.
Terkait hal ini, juru bicara Google mengatakan fitur Enhanced Spellcheck hanya akan aktif atas seizin pengguna. “Fitur tersebut membutuhkan izin dari pengguna,” katanya. Fitur tersebut berbeda dengan fitur penguji ejaan (spell checker) bawaan Google Chrome dan tidak mentransfer data ke Google.
Pengguna bisa mengecek lewat link chrome://settings/?search=Enhanced+Spell+Check untuk mengaktifkan atau tidak fitur Enhanced Spell Check. Dalam kolom dialog fitur itu, terlihat bahwa fitur tersebut memang mengirim data ke Google.
Namun Google berdalih informasi yang didapat hanya disimpan secara sementara.
“Teks yang diketik pengguna mungkin berisi informasi personal yang sensitif dan Google tidak menautkannya kepada identitas pengguna dan hanya memrosesnya di server sementara. Untuk memastikan privasi pengguna selanjutnya, kami akan bekerja untuk mengeluarkan password dari fitur cek ejaan,” kata Google.
(lom/lth)