Ecco i Web Tracker che rubano lo username a chi naviga

Dic 28, 2017 Marco Schiaffino In evidenza, News, Privacy, RSS 3

La scoperta a opera di un gruppo di ricercatori. I servizi di marketing usano un trucchetto per copiare username ed email degli utenti dal browser.

Che i sistemi di compilazione automatica delle credenziali avessero delle vulnerabilità si sapeva da tempo. Che a sfruttarle per fare incetta di username e indirizzi email non fossero i soliti cyber-criminali ma delle “rispettabili” società che si occupano di marketing e di analytics, però, è una sorpresa.

Si tratta di Adthink (audienceinsights.net) e OnAudience (behavioralengine.com). due aziende che offrono servizi di statistica e analytics che sfruttano script all’interno delle pagine Web.

In teoria i dati dovrebbero essere anonimi, ma come ben sappiamo per soggetti come questi il “superamento” dell’anonimato consente di fornire informazioni più specifiche (per esempio correlando i dati riguardanti la navigazione con le attività sui social network) e ottenere, di conseguenza, compensi maggiori dai loro clienti.

Il trucchetto che utilizzano per rubare le informazioni in questione è ben conosciuto e prevede l’inserimento di un campo di registrazione nascosto che permette di ingannare i sistemi di compilazione automatica dei più diffusi browser.

A spiegarlo è un gruppo di ricercatori di Princeton che in una pagina Web dedicata spiegano come funziona il tutto e come lo hanno scoperto.

I ricercatori hanno creato anche una pagina demo (raggiungibile a questo indirizzo) che dimostra come funziona il sistema.

Lo script, in pratica, non viene inserito nella pagina iniziale che richiede il login, ma in una qualsiasi pagina successiva. Essendo invisibile, l’utente non si accorge di nulla, ma il sistema di compilazione automatica ci casca invariabilmente e fornisce così lo username (che spesso corrisponde all’email) del visitatore.

Le due aziende usano lo stesso metodo ma trattano i dati “recuperati” in questo modo in maniera diversa. Adthink (il suo script è presente su più di 1.000 siti Internet nella classifica Alexa) invia gli indirizzi email ai suoi server sotto forma di hash MD5 (considerato ormai un sistema tutt’altro che sicuro) SHA-1 e SHA-256.

Oltre allo username, fa incetta di informazioni di ogni tipo (quando disponibili) per associarle al profilo dell’utente. Da quelle di carattere economico-finanziario a quelle personali (orientamento sessuale, politico e religioso) e addirittura fisiche, come colore dei capelli, degli occhi e simili.

Per non farsi mancare nulla, condivide gli indirizzi email anche con Acxiom, una società di marketing che fornisce anche servizi di “Identity resolution”, cioè di connessione tra i vari dispositivi utilizzati da uno stesso utente. Sul loro sito la procedura viene descritta come “rispettosa della privacy”.

OnAudience ha invece un mercato più ridotto e concentrato geograficamente (45 dei 63 siti con il suo script sono polacchi) e si limita a registrare informazioni come il fuso orario, il tipo di browser, il sistema operativo, il tipo di processore, le dimensioni dello schermo e la lingua usata.

In entrambi i casi, l’anonimato delle informazioni dovrebbe essere garantito dal fatto che l’hash di un’email non è leggibile. Nella realtà, chi dovesse avere libero accesso al database potrebbe rintracciare i dati sia violando l’algoritmo di hashing (MD5 come abbiamo accennato non è irresistibile) sia applicando l’hash all’indirizzo email e andando a cercare le informazioni associate.

Come proteggersi da questo tipo di profilazione? Il metodo più semplice è quello di utilizzare un ad-blocker o di disattivare i sistemi di compilazione automatica integrati nei browser, sostituendoli magari con un password manager che richieda la master password ogni volta che si accede a un sito che richiede il login.

Condividi l'articolo