Datenlecks finden in regelmäßigen Abständen statt und schützen kann man sich davor als Endverbraucher nur bedingt – wenn überhaupt. Doch der Schaden hält sich in den meisten Fällen in Grenzen, da die erbeuteten Daten vergleichsweise unkritisch sind. Der aktuelle Fall ist jedoch anders. Einerseits ist die absolute Mehrheit der Internet-Nutzer betroffen, andererseits können so ziemlich alle sensiblen Nutzerdaten offengelegt werden. Von Namen, Adressen und Personalausweisnummern, über Banking-Daten, bis zu Nutzernamen, E-Mails und Passwörtern.
Browser-Funktion verschickt sensible Daten an Google & Microsoft
Wer die erweiterte Rechtschreibprüfung von Google Chrome oder des MS-Editors (Microsoft Edge) verwendet, teilt sämtliche im Browser eingetragenen Informationen mit den beiden US-amerikanischen Herstellern Google und Microsoft. Das fanden kürzlich Sicherheitsforscher des Unternehmens Otto-js heraus. Dabei werden, wie bereits erwähnt, sämtliche nicht verschleierten Informationen kopiert und verschickt. Falls du etwa deine Kreditkarte für Online-Käufe verwendest und die erweiterte Rechtschreibprüfung nutzt, dann liegen deine Kreditkarteninformationen bereits längst auf den Google- und Microsoft-Servern. Und das gilt sogar für Passwörter, solltest du beim Eintippen auf den „Passwort anzeigen“-Button geklickt haben.
Die Sicherheitslücke soll dabei laut Angaben der Sicherheitsforscher fast allen Websites betreffen – konkret 96,7 Prozent. Dazu gehören auch Onlinebanking-, Social Media- und sogar Regierungsseiten. Passwörter wurden immerhin auf „lediglich“ 73 Prozent der Websites erfasst. Wobei sich der „gute“ Wert nicht auf höhere Sicherheitsstandards zurückführen lässt. Stattdessen begründet sich dieser schlicht durch die Tatsache, dass ein Viertel der getesteten Websites nicht über einen „Passwort anzeigen“-Button verfügten.
Worauf muss ich achten?
Die erweiterte Rechtschreibprüfung ist ab Werk deaktiviert und muss zuerst in den Einstellungen eingeschaltet (Google Chrome) oder als Add-On (Microsoft Edge) hinzugefügt werden. Leider kann dies auch unbeabsichtigt passieren – etwa durch einen unbedachten Rechtsklick in einem Google Doc. Ob du die Funktion in Chrome aktiviert hast, kannst du in den Browser-Einstellungen unter Sprachen > Rechtschreibprüfung herausfinden. Ferner empfiehlt es sich, den „Passwort anzeigen“-Button prinzipiell nicht zu betätigen.
Ob und was mit den Nutzerdaten passiert, sobald sie sich auf den Servern von Microsoft und Google befinden, ist unklar. Und das Gleiche gilt auch für den Sicherheitsgrad, mit dem die erfassten Nutzerdaten gemanagt werden. So kann es sein, dass das Sicherheits-, respektive Datenschutzniveau hier deutlich geringer ausfällt, als es bei sensiblen Daten üblicherweise der Fall ist. Mittlerweile informierte Otto-js sowohl Google als auch Microsoft über das Problem.