浏览器拼写检查或会泄露用户密码，特别是在云端服务器上使用时

最近有网络安全研究发现，像是Chrome以及Edge等浏览器可以通过改善拼写防能，无意间向第三方云端服务器发送用户的密码以及身份认证讯息（Personally identifiable information）。这个漏洞不但会让用户的隐私暴露在潜在危险中，同时对于公司组织的管理凭证以及网络基建相信讯息也有潜在影响。

这个漏洞是由网络安全公司otto-js的团队在测试其脚本行为侦测功能时发现。他们发现，Chrome的改善拼写检查功能及Edge的MS Editor在正确的组合功能之下，会无意中暴露包含身份认证讯息及其他敏感讯息的字段数据，同时把这些数据发回给微软或Google的服务器。

除了字段数据发，otto-js团队还发现浏览器中的“查看密码”功能会暴露用户的密码。这个功能本意是协助用户检查密码有没有拼错，然而改善拼写功能就可以把这些密码都暴露给第三方服务器。

otto-js团队也演示了一次怎样利用这个漏洞。以阿里云为例，当用户以Chrome登入时，改善拼写功能会在没有管碳员授权的情况下把请求发送到基于Google的服务器。这个请求当中就包括了用户实际上输入的密码。一旦不法份子获得这些讯息，就可以窃取公司或用户数据，甚至直接危及公司组织的网络基建架构。

otto-js团队最后也联系了微软365、阿里云、Google Cloud、AWS以及LastPass这几家著名云服务供货商，提醒他们相关的风险，而AWS以及LastPass随后表示已经成功解决了这个漏洞。