Рекламщики используют хакерский трюк для сбора данных о пользователях

Рекламные и аналитические компании могут тайно извлекать из браузеров логины с помощью скрытых полей авторизации и идентифицировать профили или электронную почту неавторизованных пользователей на сайтах, предупреждают исследователи из Принстонского университета. Проблема кроется в недоработке дизайна включенных во все браузеры диспетчеров паролей, которые позволяют запоминать логины/пароли для определенных сайтов и автоматически указывать их в поле авторизации. По словам экспертов, web-трекеры могут внедрять скрытые формы авторизации на ресурсы, где имеются отслеживающие скрипты, и таким образом получать доступ к именам пользователей и паролям. Хотя данный трюк известен уже более десяти лет, до недавнего времени его использовали только хакеры при сборе данных аутентификации в ходе XSS (межсайтовый скриптинг) – атак. Однако подобную практику перенимают и рекламные компании. Исследователи обнаружили два таких сервиса - Adthink (audienceinsights.net) и OnAudience (behavioralengine.com), которые используют скрытые скрипты для сбора информации о логинах пользователей на 1 100 сайтах, входящих список популярных ресурсов Alexa. Данные сервисы собирали не пароли, а только сведения о логинах и электронных адресах, в зависимости от используемых на том или ином сайте параметров для авторизации. Как выяснили эксперты, компании извлекали логины/адреса электронной почты, создавали хеши и привязывали их к существующим рекламным профилям посетителей сайтов. «Адреса электронной почты уникальны и постоянны, таким образом хеш электронного адреса является отличным идентификатором отслеживания. Электронный адрес пользователя практически никогда не изменится – удаление cookie-файлов, использование приватного режима в браузере или смена устройства не предотвратит отслеживание. Хеш может быть использован для создания общего online-профиля по данным, собранным из различных браузеров, мобильных приложений и устройств», - пояснили исследователи. Специалисты также представили демо-страницу, где пользователи могут проверить, уязвим ли диспетчер авторизации в используемом ими браузере к данному виду атаки.