A grande maioria dos usuários provavelmente já utilizaram e ainda utilizam o “famoso” recurso de preenchimento automático de formulários que os navegadores de Internet disponibilizam. Este tipo de recurso facilita e é uma economia de tempo, pois preenche automaticamente dados como nome, endereço, número de telefone, e-mail e outros dados, pois já estão salvos no navegador.

Para o usuário, esse tipo de recurso é essencial, pois insere informações básicas que ele praticamente teria que digitar todas as vezes que preenchesse um formulário de cadastro, mas o navegador pode estar inserindo muito mais informação do que o usuário está realmente visualizando. Com um simples descuido, o usuário pode fornecer mais informações privadas do que realmente quer.

Diante desta facilidade que os navegadores apresentam, criminosos descobriram uma nova e poderosa ferramenta para roubar dados dos usuários, com o melhor: sem o usuário desconfiar de nada.

O ataque consiste em criar formulários válidos com campos de nome e e-mail por exemplo, e campos adicionais, não visíveis para o usuário, com outros dados como endereço, sexo, idade, etc. Esses campos adicionais são ocultos utilizando códigos de programação web, onde o usuário só consegue descobri-los se visualizar o código fonte do formulário que está sendo exibido. Quando o preenchimento automático de formulário é utilizado, todos os campos, visíveis e não visíveis, são preenchidos. Dessa forma o usuário envia mais dados para o atacante do que pensa.

O pesquisador de segurança Viljami Kuosmanen gravou uma demonstração de como esse ataque funciona e você pode conferir abaixo:

Esse tipo de vazamento de dados ocorre no navegador Chrome, um dos mais utilizados entre os usuários, no Safari e no Firefox, mas pode ser facilmente evitado com uma simples configuração. No navegador Firefox existe uma certa “segurança” para esse vazamento, pois o usuário precisa clicar em cada dado que será inserido no formulário automaticamente, ao contrário do Chrome e do Safari que preenchem automaticamente.

Uma má notícia é que essa opção, por padrão, vem habilitada no navegador e a boa notícia é que esse recurso pode ser facilmente desabilitado.

Como desativar esse recurso no navegador Chrome:

• Abra o navegador Chrome
• Digite chrome://settings/search#senha na barra de endereço;
• No item “Senhas e formulários” desmarque a opção “Ative o preenchimento automático para preencher formulários da web com apenas um clique”.

Como desativar esse recurso no navegador Safari:

• Abra o navegador Safari;
• Clique no item “Safari” que fica na barra de opções;
• Acesse “Preferências”;
• Clique em “Autofill”
• Desmarque as opções conforme a imagem abaixo:

Até que o problema de preenchimento automático de formulário seja resolvido, é importante desabilitar essa funcionalidade e ficar seguro quanto ao vazamento de informações com esse tipo de ataque.