Рекламщики используют хакерский трюк для сбора данных о пользователях (Обновлено)

Рекламщики используют хакерский трюк для сбора данных о пользователях (Обновлено)

Недочет в дизайне диспетчеров авторизации браузеров позволяет извлечь логины пользователей.

image

Рекламные и аналитические компании могут тайно извлекать из браузеров логины с помощью скрытых полей авторизации и идентифицировать профили или электронную почту неавторизованных пользователей на сайтах, предупреждают исследователи из Принстонского университета.

Проблема кроется в недоработке дизайна включенных во все браузеры диспетчеров паролей, которые позволяют запоминать логины/пароли для определенных сайтов и автоматически указывать их в поле авторизации. По словам экспертов, web-трекеры могут внедрять скрытые формы авторизации на ресурсы, где имеются отслеживающие скрипты, и таким образом получать доступ к именам пользователей и паролям.

Хотя данный трюк известен уже более десяти лет, до недавнего времени его использовали только хакеры при сборе данных аутентификации в ходе XSS (межсайтовый скриптинг) – атак. Однако подобную практику перенимают и рекламные компании. Исследователи обнаружили два таких сервиса - Adthink (audienceinsights.net) и OnAudience (behavioralengine.com), которые используют скрытые скрипты для сбора информации о логинах пользователей на 1 100 сайтах, входящих список популярных ресурсов Alexa. Данные сервисы собирали не пароли, а только сведения о логинах и электронных адресах, в зависимости от используемых на том или ином сайте параметров для авторизации.

Как выяснили эксперты, компании извлекали логины/адреса электронной почты, создавали хеши и привязывали их к существующим рекламным профилям посетителей сайтов.

«Адреса электронной почты уникальны и постоянны, таким образом хеш электронного адреса является отличным идентификатором отслеживания. Электронный адрес пользователя практически никогда не изменится – удаление cookie-файлов, использование приватного режима в браузере или смена устройства не предотвратит отслеживание. Хеш может быть использован для создания общего online-профиля по данным, собранным из различных браузеров, мобильных приложений и устройств», - пояснили исследователи.

Специалисты также представили демо-страницу, где пользователи могут проверить, уязвим ли диспетчер авторизации в используемом ими браузере к данному виду атаки.

Официальный комментарий компании Cloud Technologies 

"Как компания, использующая технологию Big Data, мы делаем все возможное не только для сбора достаточного объема информации об интернет-пользователях, но и для обеспечения их безопасности и конфиденциальности. Как очевидно по нашим скриптам, мы не собираем адреса электронной почты или пароли. Фактически мы собираем анонимные хеши электронной почты, сгенерированные известным и распространенным алгоритмом хеширования. Данный метод широко используется современными автоматизированными маркетинговыми платформами и поддерживается ведущими провайдерами рекламных технологий. Мы используем их исключительно для Email-ретаргетинга от имени наших клиентов, используя двойное подтверждение. В данном случае, скрипт собирал данные для нашей платформы BehavioralEngine.com.

Платформа OnAudience.com – совершенно другая технология, применяющая иные методы для сбора информации. Более того, обмен данными между BehavioralEngine.com и OnAudience.com не осуществляется. Все собранные нашей DMP данные автоматически анонимизируются и обрабатываются в реальном времени алгоритмами машинного обучения с целью обеспечения точности в рекламном таргетинге и другой маркетинговой деятельности, осуществляемой для наших клиентов. Цифровая информация никогда не совмещается с любыми данными, которые могли бы позволить злоумышленниками идентифицировать людей в Сети. С того момента, как мы начали нашу деятельность, подобных инцидентов не случалось, хотя мы обрабатываем более 9 млрд анонимных профилей по всему миру."

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle