Wekelijks ziet de redactie berichten over datalekken voorbijkomen. Het kan onderwerp van een pers- of nieuwsbericht zijn. Met grote regelmaat is na het lezen van het bericht de conclusie dat, zonder dat het genoemd is, ook sprake is van een datalek.
Op de valreep van het weekend is van dat laatste een verontrustend geval bekend geworden. De melding gaat over het gebruiken van de vertaalopties die de Edge browser biedt. Elke tekst die de browser serveert kan worden vertaald.
Dat klinkt als een hele handige en praktische uitbreiding. Echt nieuw is het verschijnsel niet, want iets vergelijkbaars is al langer als optie van Google mogelijk. Er is echter wel een groot verschil tussen de oude methode en wat Edge nu aanbiedt.
In deze post van Gossie the Dog, de man die afgelopen week weer op veel belangstelling kon rekenen vanwege zijn meldingen over het Citrix lek waar ook het OM door is geraakt, staat uitgelegd wat het probleem met de Edge browser is.
Beter gezegd het zijn twee problemen. De eerste ongewenste “feature” is dat het vertalen van geserveerde content default op aan staat. Waarom dat niet goed is heeft alles met het tweede te maken. Edge doet meer dan vertalen, het stuurt onder het mom van de vertaalactie ook alle geserveerde content naar de eigen servers. Handig om AI modellen te trainen.
Het advies die vertaaloptie direct dicht te zetten. De melder geeft ook nog aan dat het Edge niet alleen alle externe content doorsluist naar Microsoft, het gaat ook om informatie van het interne netwerk dat via een browser wordt geraadpleegd.
Voor elke compliance expert moet dan het gevaar dat deze browserfunctie vertegenwoordigt duidelijk zijn. Als het goed is begrijpt hij namelijk ook het punt dat niet is genoemd. Je waardevolle data ongevraagd gebruikt zien worden door Microsoft is al erg. Als die data persoonsgegevens bevat dan is het gebruik van Edge de deur openzetten voor een continu datalek.
Wie als IT beheerder, CISO of CIO denkt dat het tijd wordt Edge te dumpen is er goed nieuws en slecht nieuws. Het slechte nieuws is dat deze “datalek optie” ook bij ander browsers mogelijk is. Het goede nieuws is dat er ook vertaalopties zijn die puur lokaal werken.
