Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Dic 28, 2017 Marco Schiaffino In evidenza, News, Privacy, RSS 3
Che i sistemi di compilazione automatica delle credenziali avessero delle vulnerabilità si sapeva da tempo. Che a sfruttarle per fare incetta di username e indirizzi email non fossero i soliti cyber-criminali ma delle “rispettabili” società che si occupano di marketing e di analytics, però, è una sorpresa.
Si tratta di Adthink (audienceinsights.net) e OnAudience (behavioralengine.com). due aziende che offrono servizi di statistica e analytics che sfruttano script all’interno delle pagine Web.
In teoria i dati dovrebbero essere anonimi, ma come ben sappiamo per soggetti come questi il “superamento” dell’anonimato consente di fornire informazioni più specifiche (per esempio correlando i dati riguardanti la navigazione con le attività sui social network) e ottenere, di conseguenza, compensi maggiori dai loro clienti.
Il trucchetto che utilizzano per rubare le informazioni in questione è ben conosciuto e prevede l’inserimento di un campo di registrazione nascosto che permette di ingannare i sistemi di compilazione automatica dei più diffusi browser.
A spiegarlo è un gruppo di ricercatori di Princeton che in una pagina Web dedicata spiegano come funziona il tutto e come lo hanno scoperto.
Lo script, in pratica, non viene inserito nella pagina iniziale che richiede il login, ma in una qualsiasi pagina successiva. Essendo invisibile, l’utente non si accorge di nulla, ma il sistema di compilazione automatica ci casca invariabilmente e fornisce così lo username (che spesso corrisponde all’email) del visitatore.
Le due aziende usano lo stesso metodo ma trattano i dati “recuperati” in questo modo in maniera diversa. Adthink (il suo script è presente su più di 1.000 siti Internet nella classifica Alexa) invia gli indirizzi email ai suoi server sotto forma di hash MD5 (considerato ormai un sistema tutt’altro che sicuro) SHA-1 e SHA-256.
Oltre allo username, fa incetta di informazioni di ogni tipo (quando disponibili) per associarle al profilo dell’utente. Da quelle di carattere economico-finanziario a quelle personali (orientamento sessuale, politico e religioso) e addirittura fisiche, come colore dei capelli, degli occhi e simili.
Per non farsi mancare nulla, condivide gli indirizzi email anche con Acxiom, una società di marketing che fornisce anche servizi di “Identity resolution”, cioè di connessione tra i vari dispositivi utilizzati da uno stesso utente. Sul loro sito la procedura viene descritta come “rispettosa della privacy”.
OnAudience ha invece un mercato più ridotto e concentrato geograficamente (45 dei 63 siti con il suo script sono polacchi) e si limita a registrare informazioni come il fuso orario, il tipo di browser, il sistema operativo, il tipo di processore, le dimensioni dello schermo e la lingua usata.
In entrambi i casi, l’anonimato delle informazioni dovrebbe essere garantito dal fatto che l’hash di un’email non è leggibile. Nella realtà, chi dovesse avere libero accesso al database potrebbe rintracciare i dati sia violando l’algoritmo di hashing (MD5 come abbiamo accennato non è irresistibile) sia applicando l’hash all’indirizzo email e andando a cercare le informazioni associate.
Come proteggersi da questo tipo di profilazione? Il metodo più semplice è quello di utilizzare un ad-blocker o di disattivare i sistemi di compilazione automatica integrati nei browser, sostituendoli magari con un password manager che richieda la master password ogni volta che si accede a un sito che richiede il login.
Mar 04, 2024 0
Gen 22, 2024 0
Gen 12, 2024 0
Gen 03, 2024 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...
3 thoughts on “Ecco i Web Tracker che rubano lo username a chi naviga”