Lỗ hổng bảo mật được các nhà nghiên cứu tại công ty bảo mật Otto JavaScript Security (có trụ sở tại Hoa Kỳ) gọi là "lỗi chính tả", có thể làm lộ thông tin nhận dạng cá nhân từ một số trang web của các doanh nghiệp được sử dụng rộng rãi như: Alibaba, Amazon Web Services, Google Cloud, LastPass, Office 365,...
Người đồng sáng lập Otto-js và CTO Josh Summit đã phát hiện ra sự cố khi đang thực hiện tiến hành nghiên cứu về cách các trình duyệt rò rỉ dữ liệu và đã phát hiện ra tính năng Kiểm tra chính tả nâng cao của Chrome và Trình chỉnh sửa MS của Edge được bật trên các trình duyệt gửi dữ liệu đến Google và Microsoft. Điều này xảy ra khi thông tin người dùng được nhập vào các trường biểu mẫu trên các trang web hoặc dịch vụ web khi sử dụng trình duyệt, chẳng hạn như tên người dùng, email, ngày sinh và số an sinh xã hội.
Chrome và Edge cũng làm rò rỉ mật khẩu người dùng nếu tính năng "hiển thị mật khẩu" được chọn và khi người dùng nhập mật khẩu vào một trang web hoặc dịch vụ thì những dữ liệu đó sẽ được gửi đến máy chủ bên thứ ba của Google và Microsoft.
Rủi ro về quyền riêng tư
Các nhà nghiên cứu đã đăng video lên YouTube về cách thức rò rỉ dữ liệu và thực hiện kiểm tra hơn 50 trang web mà người dùng thường xuyên sử dụng hàng ngày hoặc hàng tuần có quyền truy cập vào PII. Nhóm nghiên cứu gồm 30 người đã chia các trang web thành các nhóm và dựa trên xếp hạng ưu tiên trong mỗi ngành để thực hiện rà soát bao gồm sáu danh mục: ngân hàng trực tuyến, công cụ văn phòng đám mây, chăm sóc sức khỏe, chính phủ, truyền thông xã hội và thương mại điện tử.
Trong số 50 trang web rà soát được thử nghiệm, có đến 96,7% đã gửi dữ liệu với PII trở lại Google và Microsoft, trong khi 73% đã gửi mật khẩu khi người dùng thực hiện chọn chức năng "hiển thị mật khẩu". Những trang web còn lại không thực hiện gửi mật khẩu là do thiếu tính năng "hiển thị mật khẩu".
Trong số các trang web mà các nhà nghiên cứu đã điều tra, Google là trang duy nhất đã khắc phục sự cố cho email và một số dịch vụ. Tuy nhiên, Otto-js nhận thấy rằng dịch vụ Web Google Cloud Secret Manager của công ty vẫn dễ bị tấn công. Trong khi đó, Auth0 - dịch vụ đăng nhập một lần phổ biến, không nằm trong nhóm kiểm soát mà các nhà nghiên cứu đã điều tra nhưng là trang web duy nhất ngoài Google đã khắc phục sự cố một cách chính xác.
Theo người phát ngôn của Google, "Văn bản do người dùng nhập có thể là thông tin cá nhân nhạy cảm, Google không đính kèm nó với bất kỳ danh tính người dùng nào và chỉ xử lý tạm thời trên máy chủ. Để đảm bảo hơn nữa quyền riêng tư của người dùng, chúng tôi sẽ chủ động loại trừ mật khẩu khỏi việc kiểm tra chính tả. Chúng tôi đánh giá cao sự hợp tác với cộng đồng bảo mật và chúng tôi luôn tìm cách để bảo vệ tốt hơn quyền riêng tư và thông tin nhạy cảm của người dùng".
Người dùng của một số ứng dụng dựa trên đám mây dành cho doanh nghiệp cũng gặp rủi ro khi nhập thông tin vào biểu mẫu trong khi sử dụng ứng dụng trên Chrome và Edge, nếu tính năng kiểm tra chính tả được bật. Trong số các dịch vụ nói trên, các nhóm bảo mật từ Amazon Web Services và LastPass đã phản hồi với Otto-js và khắc phục được sự cố.
Dữ liệu bị rò rỉ sẽ đi đâu?
Một câu hỏi lớn được đặt ra là điều gì sẽ xảy ra với dữ liệu sau khi được gửi tới Google và Microsoft. Tại thời điểm này, không ai biết liệu dữ liệu đang được lưu trữ ở đâu và ai đang quản lý chúng. Các nhà nghiên cứu cũng không rõ liệu chúng có được quản lý với mức độ bảo mật giống như đối với dữ liệu nhạy cảm hay không, hay liệu nó có được nhóm sản phẩm sử dụng làm siêu dữ liệu để tinh chỉnh mô hình hay không.
Các nhà nghiên cứu nhận thấy rằng vấn đề này một lần nữa làm dấy lên lo ngại về việc các công ty công nghệ như Google và Microsoft có quá nhiều quyền truy cập vào thông tin nhạy cảm về khách hàng. Đặc biệt là khi liên quan đến mật khẩu.
Nguyên nhân dẫn đến việc rò rỉ dữ liệu
Việc rò rỉ dữ liệu có thể phổ biến đối với người dùng hoặc doanh nghiệp vì một số lý do, như đối với tính năng “hiển thị mật khẩu” của trình duyệt vì nó thực sự hữu ích cho người dùng, do vậy chúng có khả năng được bật và làm lộ dữ liệu mà người dùng không biết.
Việc để lộ mật khẩu cũng xảy ra như một "tương tác ngoài ý muốn" giữa tính năng kiểm tra chính tả của trình duyệt và một trang web, khiến nó trở thành thứ có thể dễ dàng bị bỏ qua. Walter Hoehn, Phó chủ tịch kỹ thuật của Otto-js chia sẻ rằng: “Các tính năng kiểm tra chính tả nâng cao trong Chrome và Edge là một trong những nâng cấp hữu ích đáng kể so với các trình duyệt khác. Cũng như đối với các trang web cung cấp tùy chọn hiển thị mật khẩu, rõ ràng khi có những chức năng này người dùng sẽ dễ sử dụng hơn, đặc biệt là đối với những người khuyết tật".
Giảm thiểu rủi ro rò rỉ dữ liệu
Ngay cả khi một trang web hoặc dịch vụ không khắc phục được sự cố thì các doanh nghiệp có thể giảm thiểu rủi ro chia sẻ PII của khách hàng khi đã nhập thông tin vào các biểu mẫu bằng cách thêm "spellcheck = false" vào tất cả các trường đầu vào, mặc dù điều này có thể gây ra một số vấn đề cho người dùng. Ngoài ra, trang web của các doanh nghiệp có thể loại bỏ tính năng "hiển thị mật khẩu" trong biểu mẫu của mình.
Theo Otto-JS, các công ty cũng có thể giảm thiểu khả năng hiển thị mật khẩu của các tài khoản thuộc sở hữu của công ty bằng cách thực hiện các biện pháp phòng ngừa bảo mật điểm cuối, vô hiệu hóa các tính năng kiểm tra chính tả nâng cao và hạn chế nhân viên cài đặt các tiện ích mở rộng trình duyệt chưa được phê duyệt. Các nhà nghiên cứu cho biết thêm, người dùng có thể giảm thiểu rủi ro gửi dữ liệu của họ đến Microsoft và Google bằng cách truy cập trình duyệt và vô hiệu hóa tính năng kiểm tra lỗi chính tả.