Рекламщики используют хакерский трюк для сбора данных о пользователях
Рекламные и аналитические компании могут тайно извлекать из браузеров логины с помощью скрытых полей авторизации и идентифицировать профили или электронную почту неавторизованных пользователей на сайтах, предупреждают исследователи из Принстонского университета.
Проблема кроется в недоработке дизайна включенных во все браузеры диспетчеров паролей, которые позволяют запоминать логины/пароли для определенных сайтов и автоматически указывать их в поле авторизации. По словам экспертов, web-трекеры могут внедрять скрытые формы авторизации на ресурсы, где имеются отслеживающие скрипты, и таким образом получать доступ к именам пользователей и паролям.
Хотя данный трюк известен уже более десяти лет, до недавнего времени его использовали только хакеры при сборе данных аутентификации в ходе XSS (межсайтовый скриптинг) – атак. Однако подобную практику перенимают и рекламные компании. Исследователи обнаружили два таких сервиса - Adthink (audienceinsights.net) и OnAudience (behavioralengine.com), которые используют скрытые скрипты для сбора информации о логинах пользователей на 1 100 сайтах, входящих список популярных ресурсов Alexa. Данные сервисы собирали не пароли, а только сведения о логинах и электронных адресах, в зависимости от используемых на том или ином сайте параметров для авторизации.
Как выяснили эксперты, компании извлекали логины/адреса электронной почты, создавали хеши и привязывали их к существующим рекламным профилям посетителей сайтов.
«Адреса электронной почты уникальны и постоянны, таким образом хеш электронного адреса является отличным идентификатором отслеживания. Электронный адрес пользователя практически никогда не изменится – удаление cookie-файлов, использование приватного режима в браузере или смена устройства не предотвратит отслеживание. Хеш может быть использован для создания общего online-профиля по данным, собранным из различных браузеров, мобильных приложений и устройств», - пояснили исследователи.
Специалисты также представили демо-страницу, где пользователи могут проверить, уязвим ли диспетчер авторизации в используемом ими браузере к данному виду атаки.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
