Aggiornamenti recenti Febbraio 14th, 2025 9:10 AM
Dic 28, 2017 Marco Schiaffino In evidenza, News, Privacy, RSS 3
Che i sistemi di compilazione automatica delle credenziali avessero delle vulnerabilità si sapeva da tempo. Che a sfruttarle per fare incetta di username e indirizzi email non fossero i soliti cyber-criminali ma delle “rispettabili” società che si occupano di marketing e di analytics, però, è una sorpresa.
Si tratta di Adthink (audienceinsights.net) e OnAudience (behavioralengine.com). due aziende che offrono servizi di statistica e analytics che sfruttano script all’interno delle pagine Web.
In teoria i dati dovrebbero essere anonimi, ma come ben sappiamo per soggetti come questi il “superamento” dell’anonimato consente di fornire informazioni più specifiche (per esempio correlando i dati riguardanti la navigazione con le attività sui social network) e ottenere, di conseguenza, compensi maggiori dai loro clienti.
Il trucchetto che utilizzano per rubare le informazioni in questione è ben conosciuto e prevede l’inserimento di un campo di registrazione nascosto che permette di ingannare i sistemi di compilazione automatica dei più diffusi browser.
A spiegarlo è un gruppo di ricercatori di Princeton che in una pagina Web dedicata spiegano come funziona il tutto e come lo hanno scoperto.
I ricercatori hanno creato anche una pagina demo (raggiungibile a questo indirizzo) che dimostra come funziona il sistema.
Lo script, in pratica, non viene inserito nella pagina iniziale che richiede il login, ma in una qualsiasi pagina successiva. Essendo invisibile, l’utente non si accorge di nulla, ma il sistema di compilazione automatica ci casca invariabilmente e fornisce così lo username (che spesso corrisponde all’email) del visitatore.
Le due aziende usano lo stesso metodo ma trattano i dati “recuperati” in questo modo in maniera diversa. Adthink (il suo script è presente su più di 1.000 siti Internet nella classifica Alexa) invia gli indirizzi email ai suoi server sotto forma di hash MD5 (considerato ormai un sistema tutt’altro che sicuro) SHA-1 e SHA-256.
Oltre allo username, fa incetta di informazioni di ogni tipo (quando disponibili) per associarle al profilo dell’utente. Da quelle di carattere economico-finanziario a quelle personali (orientamento sessuale, politico e religioso) e addirittura fisiche, come colore dei capelli, degli occhi e simili.
Per non farsi mancare nulla, condivide gli indirizzi email anche con Acxiom, una società di marketing che fornisce anche servizi di “Identity resolution”, cioè di connessione tra i vari dispositivi utilizzati da uno stesso utente. Sul loro sito la procedura viene descritta come “rispettosa della privacy”.
OnAudience ha invece un mercato più ridotto e concentrato geograficamente (45 dei 63 siti con il suo script sono polacchi) e si limita a registrare informazioni come il fuso orario, il tipo di browser, il sistema operativo, il tipo di processore, le dimensioni dello schermo e la lingua usata.
In entrambi i casi, l’anonimato delle informazioni dovrebbe essere garantito dal fatto che l’hash di un’email non è leggibile. Nella realtà, chi dovesse avere libero accesso al database potrebbe rintracciare i dati sia violando l’algoritmo di hashing (MD5 come abbiamo accennato non è irresistibile) sia applicando l’hash all’indirizzo email e andando a cercare le informazioni associate.
Come proteggersi da questo tipo di profilazione? Il metodo più semplice è quello di utilizzare un ad-blocker o di disattivare i sistemi di compilazione automatica integrati nei browser, sostituendoli magari con un password manager che richieda la master password ogni volta che si accede a un sito che richiede il login.
Gen 30, 2025 0
Dic 10, 2024 0
Ott 25, 2024 0
Set 26, 2024 0
Feb 14, 2025 0
Feb 13, 2025 0
Feb 12, 2025 0
Feb 11, 2025 0
Feb 13, 2025 0
Ieri Microsoft ha pubblicato un’approfondita analisi...Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 14, 2025 0
DNSperf, servizio indipendente per la misurazione delle...Feb 13, 2025 0
Ieri Microsoft ha pubblicato un’approfondita analisi...Feb 12, 2025 0
La polizia thailandese ha arrestato quattro hacker europei...Feb 11, 2025 0
Ieri Apple ha rilasciato un fix urgente per un bug...Feb 10, 2025 0
La scorsa settimana Brave ha annunciato l’arrivo dei...
3 thoughts on “Ecco i Web Tracker che rubano lo username a chi naviga”