События

Рекламщики используют хакерский трюк для сбора данных о пользователях

Рекламные и аналитические компании могут тайно извлекать из браузеров логины с помощью скрытых полей авторизации и идентифицировать профили или электронную почту неавторизованных пользователей на сайтах, предупреждают исследователи из Принстонского университета.

Проблема кроется в недоработке дизайна включенных во все браузеры диспетчеров паролей, которые позволяют запоминать логины/пароли для определенных сайтов и автоматически указывать их в поле авторизации. По словам экспертов, web-трекеры могут внедрять скрытые формы авторизации на ресурсы, где имеются отслеживающие скрипты, и таким образом получать доступ к именам пользователей и паролям.

Хотя данный трюк известен уже более десяти лет, до недавнего времени его использовали только хакеры при сборе данных аутентификации в ходе XSS (межсайтовый скриптинг) – атак. Однако подобную практику перенимают и рекламные компании. Исследователи обнаружили два таких сервиса - Adthink (audienceinsights.net) и OnAudience (behavioralengine.com), которые используют скрытые скрипты для сбора информации о логинах пользователей на 1 100 сайтах, входящих список популярных ресурсов Alexa. Данные сервисы собирали не пароли, а только сведения о логинах и электронных адресах, в зависимости от используемых на том или ином сайте параметров для авторизации.

Как выяснили эксперты, компании извлекали логины/адреса электронной почты, создавали хеши и привязывали их к существующим рекламным профилям посетителей сайтов.

«Адреса электронной почты уникальны и постоянны, таким образом хеш электронного адреса является отличным идентификатором отслеживания. Электронный адрес пользователя практически никогда не изменится – удаление cookie-файлов, использование приватного режима в браузере или смена устройства не предотвратит отслеживание. Хеш может быть использован для создания общего online-профиля по данным, собранным из различных браузеров, мобильных приложений и устройств», - пояснили исследователи.

Специалисты также представили демо-страницу, где пользователи могут проверить, уязвим ли диспетчер авторизации в используемом ими браузере к данному виду атаки.

Источник

Автор: Сергей Куприянов
28.12.2017 (13:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.