Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Dic 28, 2017 Marco Schiaffino In evidenza, News, Privacy, RSS 3
Che i sistemi di compilazione automatica delle credenziali avessero delle vulnerabilità si sapeva da tempo. Che a sfruttarle per fare incetta di username e indirizzi email non fossero i soliti cyber-criminali ma delle “rispettabili” società che si occupano di marketing e di analytics, però, è una sorpresa.
Si tratta di Adthink (audienceinsights.net) e OnAudience (behavioralengine.com). due aziende che offrono servizi di statistica e analytics che sfruttano script all’interno delle pagine Web.
In teoria i dati dovrebbero essere anonimi, ma come ben sappiamo per soggetti come questi il “superamento” dell’anonimato consente di fornire informazioni più specifiche (per esempio correlando i dati riguardanti la navigazione con le attività sui social network) e ottenere, di conseguenza, compensi maggiori dai loro clienti.
Il trucchetto che utilizzano per rubare le informazioni in questione è ben conosciuto e prevede l’inserimento di un campo di registrazione nascosto che permette di ingannare i sistemi di compilazione automatica dei più diffusi browser.
A spiegarlo è un gruppo di ricercatori di Princeton che in una pagina Web dedicata spiegano come funziona il tutto e come lo hanno scoperto.
Lo script, in pratica, non viene inserito nella pagina iniziale che richiede il login, ma in una qualsiasi pagina successiva. Essendo invisibile, l’utente non si accorge di nulla, ma il sistema di compilazione automatica ci casca invariabilmente e fornisce così lo username (che spesso corrisponde all’email) del visitatore.
Le due aziende usano lo stesso metodo ma trattano i dati “recuperati” in questo modo in maniera diversa. Adthink (il suo script è presente su più di 1.000 siti Internet nella classifica Alexa) invia gli indirizzi email ai suoi server sotto forma di hash MD5 (considerato ormai un sistema tutt’altro che sicuro) SHA-1 e SHA-256.
Oltre allo username, fa incetta di informazioni di ogni tipo (quando disponibili) per associarle al profilo dell’utente. Da quelle di carattere economico-finanziario a quelle personali (orientamento sessuale, politico e religioso) e addirittura fisiche, come colore dei capelli, degli occhi e simili.
Per non farsi mancare nulla, condivide gli indirizzi email anche con Acxiom, una società di marketing che fornisce anche servizi di “Identity resolution”, cioè di connessione tra i vari dispositivi utilizzati da uno stesso utente. Sul loro sito la procedura viene descritta come “rispettosa della privacy”.
OnAudience ha invece un mercato più ridotto e concentrato geograficamente (45 dei 63 siti con il suo script sono polacchi) e si limita a registrare informazioni come il fuso orario, il tipo di browser, il sistema operativo, il tipo di processore, le dimensioni dello schermo e la lingua usata.
In entrambi i casi, l’anonimato delle informazioni dovrebbe essere garantito dal fatto che l’hash di un’email non è leggibile. Nella realtà, chi dovesse avere libero accesso al database potrebbe rintracciare i dati sia violando l’algoritmo di hashing (MD5 come abbiamo accennato non è irresistibile) sia applicando l’hash all’indirizzo email e andando a cercare le informazioni associate.
Come proteggersi da questo tipo di profilazione? Il metodo più semplice è quello di utilizzare un ad-blocker o di disattivare i sistemi di compilazione automatica integrati nei browser, sostituendoli magari con un password manager che richieda la master password ogni volta che si accede a un sito che richiede il login.
Apr 18, 2024 0
Mar 04, 2024 0
Gen 22, 2024 0
Gen 12, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...
3 thoughts on “Ecco i Web Tracker che rubano lo username a chi naviga”