Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Dic 28, 2017 Marco Schiaffino In evidenza, News, Privacy, RSS 3
Che i sistemi di compilazione automatica delle credenziali avessero delle vulnerabilità si sapeva da tempo. Che a sfruttarle per fare incetta di username e indirizzi email non fossero i soliti cyber-criminali ma delle “rispettabili” società che si occupano di marketing e di analytics, però, è una sorpresa.
Si tratta di Adthink (audienceinsights.net) e OnAudience (behavioralengine.com). due aziende che offrono servizi di statistica e analytics che sfruttano script all’interno delle pagine Web.
In teoria i dati dovrebbero essere anonimi, ma come ben sappiamo per soggetti come questi il “superamento” dell’anonimato consente di fornire informazioni più specifiche (per esempio correlando i dati riguardanti la navigazione con le attività sui social network) e ottenere, di conseguenza, compensi maggiori dai loro clienti.
Il trucchetto che utilizzano per rubare le informazioni in questione è ben conosciuto e prevede l’inserimento di un campo di registrazione nascosto che permette di ingannare i sistemi di compilazione automatica dei più diffusi browser.
A spiegarlo è un gruppo di ricercatori di Princeton che in una pagina Web dedicata spiegano come funziona il tutto e come lo hanno scoperto.
Lo script, in pratica, non viene inserito nella pagina iniziale che richiede il login, ma in una qualsiasi pagina successiva. Essendo invisibile, l’utente non si accorge di nulla, ma il sistema di compilazione automatica ci casca invariabilmente e fornisce così lo username (che spesso corrisponde all’email) del visitatore.
Le due aziende usano lo stesso metodo ma trattano i dati “recuperati” in questo modo in maniera diversa. Adthink (il suo script è presente su più di 1.000 siti Internet nella classifica Alexa) invia gli indirizzi email ai suoi server sotto forma di hash MD5 (considerato ormai un sistema tutt’altro che sicuro) SHA-1 e SHA-256.
Oltre allo username, fa incetta di informazioni di ogni tipo (quando disponibili) per associarle al profilo dell’utente. Da quelle di carattere economico-finanziario a quelle personali (orientamento sessuale, politico e religioso) e addirittura fisiche, come colore dei capelli, degli occhi e simili.
Per non farsi mancare nulla, condivide gli indirizzi email anche con Acxiom, una società di marketing che fornisce anche servizi di “Identity resolution”, cioè di connessione tra i vari dispositivi utilizzati da uno stesso utente. Sul loro sito la procedura viene descritta come “rispettosa della privacy”.
OnAudience ha invece un mercato più ridotto e concentrato geograficamente (45 dei 63 siti con il suo script sono polacchi) e si limita a registrare informazioni come il fuso orario, il tipo di browser, il sistema operativo, il tipo di processore, le dimensioni dello schermo e la lingua usata.
In entrambi i casi, l’anonimato delle informazioni dovrebbe essere garantito dal fatto che l’hash di un’email non è leggibile. Nella realtà, chi dovesse avere libero accesso al database potrebbe rintracciare i dati sia violando l’algoritmo di hashing (MD5 come abbiamo accennato non è irresistibile) sia applicando l’hash all’indirizzo email e andando a cercare le informazioni associate.
Come proteggersi da questo tipo di profilazione? Il metodo più semplice è quello di utilizzare un ad-blocker o di disattivare i sistemi di compilazione automatica integrati nei browser, sostituendoli magari con un password manager che richieda la master password ogni volta che si accede a un sito che richiede il login.
Set 03, 2024 0
Lug 08, 2024 0
Apr 18, 2024 0
Mar 04, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...
3 thoughts on “Ecco i Web Tracker che rubano lo username a chi naviga”