Um bug de software introduzido na implementação da API IndexedDB do Apple Safari 15 pode ser abusado por um site malicioso para rastrear a atividade online dos usuários no navegador e, pior, até revelar sua identidade.

A vulnerabilidade, apelidada de IndexedDB Leaks, é uma interface de programação de aplicativos (API) JavaScript de baixo nível fornecida por navegadores Web para gerenciar um banco de dados NoSQL de objetos de dados estruturados, como arquivos e blobs.

A falha permite que os sites saibam quais outros sites um usuário está visitando em diferentes guias ou janelas, sem mencionar identificar com precisão os usuários nos serviços  do Google, como YouTube e Google Agenda, pois esses sites criam bancos de dados IndexedDB que incluem o IDs de usuário do Google autenticados, que é um identificador interno que identifica exclusivamente uma única conta do Google.

Isso não apenas implica que sites não confiáveis ou maliciosos podem aprender a identidade de um usuário, mas também permite a vinculação de várias contas separadas usadas pelo mesmo usuário.