Эксперты по вопросам безопасности из Принстона предупреждают, что компании, занимающиеся рекламой и аналитикой, могут тайно извлекать имена пользователей сайта из браузеров. Для этого они используют скрытые поля входа в систему и связывают неавторизированных пользователей сайта с их профилями в этом домене.
Это стало возможным из-за недостатков в менеджерах входа на сайт всех браузеров. Менеджеры позволяют браузерам запоминать имя и пароль пользователей на определенных сайтах и автоматически вставлять их в поля входа при повторном посещении.
Уловка старая - сервисы новые
Это старая уловка, и до сих пор ее использовали только хакеры. Однако исследователи из Принстона заявляют, что недавно они обнаружили две службы, которые используют скрытые формы входа для сбора учетных данных пользователей. Ни один из сервисов не собирал информацию о пароле, запоминая только имя пользователя или адрес электронной почты.
Промышляют подобным Adthink (auditinsights.net) и OnAudience (behavioralengine.com). Службы собрали информацию с 1110 сайтов, найденных в списке Alexa Top 1 Million.
Как и почему это возможно
Сервисы извлекали имя пользователя / адрес электронной почты из поля входа, создавали хэш и связывали этот хэш с существующим рекламным профилем посетителя сайта.
Стоит отметить, что адрес электронной почты являются уникальным и неизменным. Поэтому хэш адреса электронной почты – отлично подходит для отслеживания. Очистка файлов cookie, использование частного режима просмотра или замена девайсов не поможет. Хэш адреса электронной почты можно использовать для объединения в одно целое онлайн-профилей, разбросанных по разным браузерам, устройствам и мобильным приложениям.
Исследователи также создали демонстрационную страницу, которую пользователи могут протестировать (используя фальшивые учетные данные), и посмотреть, заполняет ли менеджер их браузера скрытое поле.
На настоящий момент все основные браузеры за исключением Brave, показали свою уязвимость. Браузеры на основе Chromium запускают эту функцию только по клику пользователя, хотя это не очень безопасный способ защиты, так как большинство в конечном итоге нажимают на ввод.
