Ups, Google dan Microsoft Bisa Peroleh Password Pengguna dari Pemeriksa Ejaan di Browser

Google dan Microsoft disebut-sebut bisa mendapatkan kata sandi pengguna dari fitur pemeriksa ejaan yang disempurnakan yang diaktifkan pengguna saat memakai browser Google Chrome dan Microsoft Edge.

oleh Agustin Setyo Wardani diperbarui 19 Sep 2022, 07:30 WIB
Google Chrome. Dok: bgr.com

Liputan6.com, Jakarta - Fitur pengecekan ejaan yang disempurnakan, yang ada di browser Google Chrome dan Microsoft Edge mengirimkan form data termasuk informasi pengenal pribadi hingga kata sandi ke Google dan Microsoft.

Meski merupakan fitur yang diketahui dan dimaksudkan dari web browser, hal ini menimbulkan kekhawatiran tentang apa yang terjadi pada data setelah transmisi dan bagaimana keamanannya, terutama menyangkut password.

Baik Chrome maupun Microsoft Edge hadir dengan fitur pemeriksa ejaan yang aktif. Namun, ketika fitur seperti Chrome Enhanced Spellchecl atau Microsoft Editor diaktifkan secara manual oleh pengguna, bisa menunjukkan risiko privasi ini.

Mengutip Bleeping Computer, Senin (19/9/2022), ketika pengguna memakai browser yang banyak dipakai seperti Chrome dan Edge, data ditransmisikan ke Google dan Microsoft, masing-masing jika fitur pemeriksa ejaan yang disempurnakan telah diaktifkan.

Bergantung pada situs web yang dikunjungi pengguna, form data tersebut bisa mencakup informasi personal pengguna, namun tidak terbatas pada nomor jaminan sosial, nama, alamat, email, tanggal lahir, informasi kontak, informasi bank, hingga pembayaran dan lain-lain.

Salah satu pendiri dan CTO perusahaan keamanan Javascript otto-js, Josh Summitt, menemukan masalah ini saat tengah menguji deteksi perilaku skrip perusahaannya.

"Jika fitur pemeriksa ejaan Chrome Enhanced Spellcheck atau Microsoft Edge Editor diaktifkan, pada dasarnya apa pun yang dimasukkan dalam bidang formulir browser akan dikirimkan ke Google dan Microsoft," katanya.


Berbahaya Jika Pengguna Tampilkan Kata Sandi

Logo Baru Microsoft Edge

"Selanjutnya jika Anda mengklik 'tampilkan kata sandi', pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi pengguna. Pada dasarnya, justru membajak data," jelasnya, dalam sebuah unggahan blog.

Summitt juga menyebut, beberapa situs web terbesar di dunia memiliki eksposur untuk mengirimkan informasi data pribadi yang sensitif ke Google dan Microsoft. Mulai dari nama pengguna, email hingga kata sandi, saat pengguna login atau mengisi formulir.

Hal ini diperparah dengan pengguna yang kerap memilih untuk menampilkan kata sandi, untuk menghindari kesalahan pengetikkan password.

Untuk mendemonstrasikannya, Summitt membagikan contoh pengguna yang memasukkan kredensial pada platform Cloud Alibaba di browser Chrome.

Dengan mengaktifkan pemeriksa ejaan yang disempurnakan dan diasumsikan pengguna mengetuk fitur 'tampilkan kata sandi', bidang form termasuk nama pengguna dan kata sandi dikirimkan ke Google di googleapis.com.

Bleeping Computer juga mengecek kredensial apa saja yang ditransmisikan ke Google ketika pengguna memakai Chrome untuk melindungi situs besar. Misalnya:


Apa yang Bisa Dilakukan Browser?

Ilustrasi Google Chrome. Kredit: Simon Steinberger via Pixabay

- CNN, baik username dan password dikirimkan ketika pengguna menggunakan 'show password'

- Facebook, baik username dan password dikirimkan ketika pengguna memakai 'show password'

- SSA.gov (Social Security Login) - hanya mengirimkan username

- Bank of Amerika - hanya mengirimkan username

- Verizon - hanya mengirimkan username.

Meski transmisi form data terjadi dengan aman melalui sambungan HTTPS, mungkin tidak jelas apa yang akan terjadi pada data pengguna setelah mencapai pihak ketiga, misalnya server Google.

"Fitur pemeriksaan ejaan yang disempurnakan memerlukan keikutsertaan dari pengguna," kata juru bicara Google.

Pemeriksaan ejaan dasar yang diaktifkan di Chrome secara default tidak mengirimkan data ke Google.

Summitt pun mengatakan, perusahaan bisa mengurangi risiko berbagi informasi personal pengguna dengan menambahkan 'spellcheck=false' ke semua bidang input.

Perusahaan juga bisa menghapus kemampuan menampilkan kata sandi karena hal tersebut diyakini bisa mencegah kata sandi pengguna dikirim ke Google atau Microsoft.

(Tin/Isk)

Infografis Tekno Google Twitter revisi

Rekomendasi

POPULER

Berita Terkini Selengkapnya