Spell-Jacking 20.09.2022, 10:25 Uhr

Microsoft Edge und Chrome geben Benutzernamen, Passwörter und mehr weiter

Wenn Sie in Edge den Microsoft Editor oder in Chrome die erweiterte Rechtschreibung nutzen: Daten, die Sie in Formularfelder eintippen, werden direkt an Microsoft oder Google gesendet. Das gilt sogar für Passwörter, wie die Webseite otto-js.com herausgefunden hat.
Symbolbild
(Quelle: Pixabay)
Die erweiterte Rechtschreibung von Chrome und der Microsoft Editor (Add-on) von Edge senden Daten, die Sie in Formularfelder eintippen, direkt an Google und Microsoft, berichtet «Neowin» (engl.) unter Berufung auf die Webseite otto-js.com. Darunter sind Benutzernamen, E-Mail-Adressen, Geburtsdatum oder Sozialversicherungsnummer. Im Grunde wird alles, was in den Feldern steht, an Webseiten, bei denen Sie sich mit einem dieser Browser anmelden, verschickt, wenn diese Funktionen aktiviert sind. Dieser Vorgang wird auch «Spell-Jacking» genannt.

Auch Passwörter werden übermittelt

Zudem werden sogar Passwörter verschickt, wenn die Schaltfläche Kennwort anzeigen (Augen-Symbol) angeklickt wird. Denn dabei wird das Kennwort in sichtbaren Text umgewandelt, der dann von der Rechtschreibung überprüft wird.
Seien Sie sich bewusst: Wenn Sie das Add-on Microsoft Editor in Edge verwenden und im Edge-Browser das Kennwort anzeigen lassen, wird das Passwort in sichtbaren Text umgewandelt
Quelle: Screenshot/PCtipp.ch
Das Team von otto-js hat 30 Webseiten aus den Bereichen Onlinebanking, Cloud-Office-Tools, Gesundheitswesen, Regierung, Soziale Medien und E-Commerce getestet. Dem Bericht zufolge schickten von den 30 getesteten Webseiten der Kontrollgruppe 96,7 % davon Daten mit personenbezogenen Daten an Google und Microsoft zurück.

Die Top 5 der betroffenen Webseiten

Am stärksten betroffen sind, bzw. waren, nach Angaben von otto-js.com folgende fünf Webseiten:
  1. Office 365
  2. Alibaba - Cloud Service
  3. Google Cloud - Secret Manager*
  4. AWS - Secrets Manager Das Problem wurde bereits vollständig behoben
  5. LastPass: Das Problem wurde bereits vollständig behoben
*Der Single-Sign-On-Dienst Auth0 gehörte nach Angaben des Otto-Teams nicht zur Kontrollgruppe, sei aber neben Google die einzige Website gewesen, die das Problem korrekt entschärft habe.
Ein Otto-Mitarbeiter meldet sich beim Alibaba-Cloud-Konto des Unternehmens an
Quelle: otto-js.com
Dieser Screenshot zeigt, wie die Anmeldedaten (Kennwort) des Mitarbeiters an Google gesendet werden, während er sich beim Alibaba-Cloud-Konto des Unternehmens anmeldet.
Quelle: otto-js.com
Lesen Sie auf der nächsten Seite, welche Unternehmen Massnahmen getroffen haben und was PCtipp rät.

Massnahmen der Unternehmen • PCtipp meint

Wurden Massnahmen getroffen?

Die einzige Webseite, die das Problem entschärft habe, sei Google, allerdings nur für einige Dienste und nicht für alle von otto-js getesteten Produkte des Unternehmens. Aber auch andere Unternehmen haben bereits Massnahmen getroffen, darunter AWS (Amazon Web Services) und der Passwortmanager LastPass, welche gegenüber otto-js.com bestätigt haben, dass ein Update das Problem entschärft habe.

PCtipp meint

Bis das Problem behoben ist, sollten Sie die Edge-Erweiterung Microsoft-Editor: Rechtschreibung- und Grammatikprüfung und die erweiterte Rechtschreibung in Chrome nicht verwenden. Die Rechtschreibprüfung in Chrome deaktivieren Sie via Einstellungen/Sprachen (s. Screenshot).
Immerhin ist hier transparent angegeben, dass der eingegebene Text an Google gesendet wird
Quelle: Screenshot/PCtipp.ch
Alternativ können Sie das Online-Wörterbuch von Duden bzw. die Online-Textprüfung Duden-Mentor, welche 7 Tage gratis getestet werden kann. Lesen Sie auch unseren Artikel Die besten Online-Rechtschreibprüfungs-Tools. Für Übersetzungshilfe können Sie auf Webtools wie DeepL zurückgreifen, von dem auch eine PC-Version verfügbar ist.



Kommentare
Avatar
tipptopp
20.09.2022
WOW! bin geschockt! Herzlichen Dank für den wertvollen und hilfreichen Hinweis!