Рекламні та аналітичні компанії можуть таємно витягати з браузерів логіни за допомогою прихованих полів авторизації та ідентифікувати профілі або електронну пошту неавторизованих користувачів на сайтах, попереджають дослідники з Прінстонського університету.

Проблема криється в недоробці дизайну включених у всі браузери диспетчерів паролів, які дозволяють запам'ятовувати логіни/паролі для певних сайтів і автоматично вказувати їх у поле авторизації. За словами експертів, web-трекери можуть впроваджувати приховані форми авторизації на ресурси, де є відстежують скрипти, і таким чином отримувати доступ до імен користувачів і паролів.

Хоча даний трюк відомий вже більше десяти років, до недавнього часу його використовували тільки хакери при зборі даних аутентифікації в ході XSS (міжсайтовий скриптинг) – атак. Однак подібну практику переймають і рекламні компанії.

Популярні новини зараз
Два тарифи на воду: нові ціни встановили для мешканців багатоповерхівок та приватного сектору Українські пенсіонери отримають по 500 гривень "бонусу": хто у списку "літніх" щасливчиків Показники лічильника стануть недійсними: споживачів застерегли від неприємностей з платіжками Як в інших країнах звикли підтирати попу і чому на нас дивляться, як на дурнів: вся справа в культурі
Показати ще

Дослідники виявили два таких сервісу - Adthink (audienceinsights.net) і OnAudience (behavioralengine.com), які використовують приховані скрипти для збору інформації про логіни користувачів на 1 100 сайтах, що входять список популярних ресурсів Alexa. Дані сервіси збирали не паролі, а тільки відомості про логіни і електронні адреси, в залежності від використовуваних на тому чи іншому сайті параметрів для авторизації.

Раніше портал "Знай.uа" повідомило, що Apple навчить голосових помічників пліткувати.