JAKARTA - Fitur pemeriksa ejaan tambahan atau Enhanced Spellcheck mungkin sangat berguna untuk memastikan tidak ada kesalahan ketik, tetapi kenyataannya fitur ini bisa membahayakan data pribadi penggunanya.
Browser Google Chrome dan Microsoft Edge diketahui memiliki fitur Enhanced Spellcheck, namun di tengah kenyamanan saat menggunakannya, ada risiko data pribadi penggunanya juga dapat tersebar luas.
Peneliti dari perusahaan keamanan JavaScript otto-js membuat penemuan yang mungkin membuat kita berpikir dua kali untuk menggunakan alat Enhanced Spellcheck di kedua browser tersebut.
Dengan mengaktifkan alat itu, maka semua yang diketik pada situs web mana pun akan dikirim ke Google untuk pemeriksaan ejaan.
Salah satu pendiri dan CTO otto-js, Josh Summitt menjelaskan hampir semua yang pengguna masukkan di formulir dan dengan fitur Enhanced Spellcheck yang diaktifkan maka informasi tersebut akan ditransmisikan ke Google dan Microsoft.
"Saat meneliti kebocoran data di browser yang berbeda, kami menemukan kombinasi fitur yang setelah diaktifkan, tidak perlu mengekspos data sensitif ke Pihak ketiga seperti Google dan Microsoft," ungkap Summit seperti dikutip dari Beta News, Selasa, 20 September.
"Jika 'tampilkan kata sandi' diaktifkan, fitur tersebut bahkan mengirimkan kata sandi Anda ke server pihak ketiga mereka. Jika Anda mengklik 'tampilkan kata sandi', pemeriksa ejaan yang disempurnakan bahkan mengirimkan kata sandi Anda, pada dasarnya mereka membajak ejaan data Anda," imbuhnya.
Ini berarti semua data yang Anda masukkan secara online, termasuk tanggal lahir, detail pembayaran, informasi kontak, dan kredensial masuk, semuanya dapat dikirim kembali ke Google dan Microsoft.
BACA JUGA:
Menurut Summit, yang mengkhawatirkan adalah betapa mudahnya fitur itu diaktifkan dan sebagian besar pengguna akan mengaktifkan fitur ini tanpa benar-benar menyadari apa yang terjadi di latar belakang.
Summit juga menjelaskan beberapa situs web terbesar di dunia memiliki akses untuk mengirim PII (Personally Identifiable Information) pengguna sensitif Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, ketika pengguna masuk atau mengisi formulir.
Masalah ini memengaruhi sejumlah situs web dan layanan besar, termasuk Office 365, Alibaba Cloud Service, dan Google Cloud Secret Manager. LastPass dan AWS Secrets Manager juga ditemukan terpengaruh, tetapi perusahaan-perusahaan ini sekarang telah menerapkan mitigasi.
Sementara itu laporan Bleeping Computer menemukan juga transmisi nama pengguna ke SSA.gov, Bank of America, dan Verizon, menggunakan Chrome, dengan kata sandi juga diekspos ke CNN dan Facebook hanya ketika tampilkan kata sandi diaktifkan.
Untuk mencegahnya, pengguna bisa menonaktifkan sementara fitur Enhanced Spellcheck atau menghapusnya sepenuhnya dari browser. Hal ini menjadi satu-satunya cara untuk melindungi data pribadi pengguna, setidaknya sampai salah satu perusahaan merevisi kebijakan privasinya.