Ups, Google dan Microsoft Bisa Peroleh Password Pengguna dari Pemeriksa Ejaan di Browser

Oleh Agustin Setyo Wardani pada 19 Sep 2022, 07:30 WIB
Diperbarui 19 Sep 2022, 07:30 WIB
Google Chrome
Perbesar
Google Chrome. Dok: bgr.com

Liputan6.com, Jakarta - Fitur pengecekan ejaan yang disempurnakan, yang ada di browser Google Chrome dan Microsoft Edge mengirimkan form data termasuk informasi pengenal pribadi hingga kata sandi ke Google dan Microsoft.

Meski merupakan fitur yang diketahui dan dimaksudkan dari web browser, hal ini menimbulkan kekhawatiran tentang apa yang terjadi pada data setelah transmisi dan bagaimana keamanannya, terutama menyangkut password.

Baik Chrome maupun Microsoft Edge hadir dengan fitur pemeriksa ejaan yang aktif. Namun, ketika fitur seperti Chrome Enhanced Spellchecl atau Microsoft Editor diaktifkan secara manual oleh pengguna, bisa menunjukkan risiko privasi ini.

Mengutip Bleeping Computer, Senin (19/9/2022), ketika pengguna memakai browser yang banyak dipakai seperti Chrome dan Edge, data ditransmisikan ke Google dan Microsoft, masing-masing jika fitur pemeriksa ejaan yang disempurnakan telah diaktifkan.

Bergantung pada situs web yang dikunjungi pengguna, form data tersebut bisa mencakup informasi personal pengguna, namun tidak terbatas pada nomor jaminan sosial, nama, alamat, email, tanggal lahir, informasi kontak, informasi bank, hingga pembayaran dan lain-lain.

Salah satu pendiri dan CTO perusahaan keamanan Javascript otto-js, Josh Summitt, menemukan masalah ini saat tengah menguji deteksi perilaku skrip perusahaannya.

"Jika fitur pemeriksa ejaan Chrome Enhanced Spellcheck atau Microsoft Edge Editor diaktifkan, pada dasarnya apa pun yang dimasukkan dalam bidang formulir browser akan dikirimkan ke Google dan Microsoft," katanya.

**Gempa Cianjur telah meluluhlantakkan Bumi Pasundan, mari bersama-sama meringankan penderitaan saudara-saudara kita di Cianjur dengan berdonasi melalui: rekening BCA No: 500 557 2000 A.N Yayasan Pundi Amal Peduli Kasih. Bantuan akan disampaikan dalam bentuk sembako, layanan kesehatan, tenda, dll. Kepedulian kita harapan mereka.


Berbahaya Jika Pengguna Tampilkan Kata Sandi

Logo Baru Microsoft Edge
Perbesar
Logo Baru Microsoft Edge

"Selanjutnya jika Anda mengklik 'tampilkan kata sandi', pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi pengguna. Pada dasarnya, justru membajak data," jelasnya, dalam sebuah unggahan blog.

Summitt juga menyebut, beberapa situs web terbesar di dunia memiliki eksposur untuk mengirimkan informasi data pribadi yang sensitif ke Google dan Microsoft. Mulai dari nama pengguna, email hingga kata sandi, saat pengguna login atau mengisi formulir.

Hal ini diperparah dengan pengguna yang kerap memilih untuk menampilkan kata sandi, untuk menghindari kesalahan pengetikkan password.

Untuk mendemonstrasikannya, Summitt membagikan contoh pengguna yang memasukkan kredensial pada platform Cloud Alibaba di browser Chrome.

Dengan mengaktifkan pemeriksa ejaan yang disempurnakan dan diasumsikan pengguna mengetuk fitur 'tampilkan kata sandi', bidang form termasuk nama pengguna dan kata sandi dikirimkan ke Google di googleapis.com.

Bleeping Computer juga mengecek kredensial apa saja yang ditransmisikan ke Google ketika pengguna memakai Chrome untuk melindungi situs besar. Misalnya:


Apa yang Bisa Dilakukan Browser?

Ilustrasi Google Chrome
Perbesar
Ilustrasi Google Chrome. Kredit: Simon Steinberger via Pixabay

- CNN, baik username dan password dikirimkan ketika pengguna menggunakan 'show password'

- Facebook, baik username dan password dikirimkan ketika pengguna memakai 'show password'

- SSA.gov (Social Security Login) - hanya mengirimkan username

- Bank of Amerika - hanya mengirimkan username

- Verizon - hanya mengirimkan username.

Meski transmisi form data terjadi dengan aman melalui sambungan HTTPS, mungkin tidak jelas apa yang akan terjadi pada data pengguna setelah mencapai pihak ketiga, misalnya server Google.

"Fitur pemeriksaan ejaan yang disempurnakan memerlukan keikutsertaan dari pengguna," kata juru bicara Google.

Pemeriksaan ejaan dasar yang diaktifkan di Chrome secara default tidak mengirimkan data ke Google.

Summitt pun mengatakan, perusahaan bisa mengurangi risiko berbagi informasi personal pengguna dengan menambahkan 'spellcheck=false' ke semua bidang input.

Perusahaan juga bisa menghapus kemampuan menampilkan kata sandi karena hal tersebut diyakini bisa mencegah kata sandi pengguna dikirim ke Google atau Microsoft.

(Tin/Isk)

Infografis Tekno Google Twitter revisi
Perbesar
Infografis Tekno Google Twitter revisi
Lanjutkan Membaca ↓

* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta Liputan6.com 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

POPULER

Berita Terkini Selengkapnya