El hacker finlandés Viljami Kuosmanen alertó sobre un nuevo tipo de phishing (una técnica para robar información), que puede ser aplicado cuando el usuario emplea la función de autocompletado al ingresar sus datos como nombre y mail en Chrome, Safari y Opera, debido a que estos navegadores también guardan de forma invisible otros ítems (tarjetas de crédito, teléfono, etc).

Esto significa que el sistema de autocompletado puede ser aprovechado por atacantes, en tanto que cuando un usuario ingresa su información básica a través de este sistema automático (que evita repetir datos que uno ya escribió y los repite), el mismo tiene almacenada de forma oculta otros ítems sensibles que la persona ya había colocado antes, como su número de tarjeta de crédito o teléfono, y dirección postal.

Para demostrar su descubrimiento, Kuosmanen publicó un sitio de prueba https://anttiviljami.github.io/browser-autofill-phishing/, en el cual se muestran dos casilleros para completar (nombre y mail), mientras que luego se observa que las cajas de texto que no están a la vista también registran la organización, la dirección postal y el número de teléfono de esa persona, entre otros datos.

Por el momento, Firefox de Mozilla «es inmune al problema» al no tener un sistema múltiple de autocompletado, según Daniel Veditz, ingeniero de seguridad de esa organización.

Los usuarios se pueden proteger de este tipo de ataque de phishing al inhabilitar el sistema de autocompletado dentro de sus navegadores o configuración de extensiones, ya que en algunos casos está activado por default.