Ostatnie badania otto-js Research Team pokazały, że dane sprawdzane przez Redaktora Microsoft (Microsoft Editor) i rozszerzone sprawdzanie pisowni w Google Chrome są wysyłane do Microsoftu i Google. Dane te zawierają nazwy użytkownika, e-maile, DOB, SSN i w zasadzie wszystko, co jest wpisywane do pól tekstowych.
Co więcej, jeśli użytkownik wybierze opcję "Odkryj hasło", która zamienia wygwiazdkowane hasło na widoczny tekst, to do dostawców tych usług wysyłane są również hasła. Tym samym przetwarzane są poufne informacje umożliwiające identyfikację użytkownika (PII) i to jest zasadniczy problem. Na poniższych zrzutach ekranu udostępnionych przez otto-js Research Team można prześledzić, jak użytkownik loguje się do Alibaba Cloud, a jego dane są udostępniane Google.
Część firm podjęła już działania, aby temu zapobiec. Zespoły bezpieczeństwa AWS i LastPass potwierdzają, że zaadresowały problem określany jako spell-jacking to za pomocą aktualizacji. Najbardziej niepokojące jest jednak to, że wspomniane ustawienia są tak łatwe do włączenia, przez co mogą spowodować ujawnienie danych bez wiedzy użytkownika. Zespół otto-js sprawdził 30 witryn internetowych z różnych sektorów i stwierdził, że 96,7% z nich wysłało dane z informacjami umożliwiającymi identyfikację użytkownika z powrotem do Google i Microsoft.
Co ciekawe, jedyną witryną z tej grupy, która zaadresowała problem, był sam Google, ale tylko w przypadku niektórych usług, a nie wszystkich testowanych produktów. Obecnie zespół otto-js zaleca, aby nie używać tych rozszerzeń i ustawień, dopóki ten problem nie zostanie rozwiązany.