Рекламні та аналітичні компанії можуть таємно витягати з браузерів логіни за допомогою прихованих полів авторизації та ідентифікувати профілі або електронну пошту неавторизованих користувачів на сайтах, попереджають дослідники з Прінстонського університету.
Підпишись на наш Viber: новини, гумор та розваги!
Підписатися
Проблема криється в недоробці дизайну включених у всі браузери диспетчерів паролів, які дозволяють запам'ятовувати логіни/паролі для певних сайтів і автоматично вказувати їх у поле авторизації. За словами експертів, web-трекери можуть впроваджувати приховані форми авторизації на ресурси, де є відстежують скрипти, і таким чином отримувати доступ до імен користувачів і паролів.
Хоча даний трюк відомий вже більше десяти років, до недавнього часу його використовували тільки хакери при зборі даних аутентифікації в ході XSS (міжсайтовий скриптинг) – атак. Однак подібну практику переймають і рекламні компанії.
Дослідники виявили два таких сервісу - Adthink (audienceinsights.net) і OnAudience (behavioralengine.com), які використовують приховані скрипти для збору інформації про логіни користувачів на 1 100 сайтах, що входять список популярних ресурсів Alexa. Дані сервіси збирали не паролі, а тільки відомості про логіни і електронні адреси, в залежності від використовуваних на тому чи іншому сайті параметрів для авторизації.
Раніше портал "Знай.uа" повідомило, що Apple навчить голосових помічників пліткувати.