Popularne polskie strony kradną maile użytkowników?
Jak podaje ZaufanaTrzeciaStrona, serwisy takie jak Wykop.pl, Money.pl, Dziennik.pl, PAP.pl czy Pajacyk.pl używają skryptów śledzących, które wykradają adresy email wchodzących na nie użytkowników. Używają do tego danych z menedżerów haseł w przeglądarkach by skuteczniej śledzić dalsze ruchy w sieci użytkowników, którzy opuszczą już te strony
Serwis podaje, że praktykę odkryli i opisali badacze z Uniwersytetu Princeton. Opisali oni praktyki kilku narzędzi do śledzenia w sieci użytkowników, które ingerują bardzo daleko w nasza prywatność, między innymi wykradając adresy email zapamiętane w popularnych przeglądarkach. Jedno z tych narzędzi jest dość popularne w Polsce i korzysta z niego wiele znanych witryn.
Wielu użytkowników zapisuje swoje dane logowania w przeglądarce. Część stron na stronach logowania wkleja skrypty śledzące użytkownika, choć częściej w tym miejscu nie ma skryptów śledzących – taki poziom przyzwoitości reprezentuje dziś wiele serwisów. Niestety okazuje się, że niektóre skrypty śledzące, obecne na kolejnych stronach serwisów, wstrzykują do nich niewidoczne formularze logowania by wykradać Wasze loginy / adresy email, wypełniane automatycznie przez przeglądarki. To karygodne zachowanie stanowi daleko idącą ingerencję w Waszą prywatność. Na poniższym obrazku możecie zobaczyć schemat tego procesu.
Spośród setek, jak nie tysięcy skryptów śledzących, badacze Princeton znaleźli tylko dwa nadużywające w ten sposób menedżerów haseł. Jednym z nich okazał się skrypt OnAudience, korzystający z domeny behavioralengine.com, drugim Adthink z domeny audienceinsights.net. Spośród miliona najpopularniejszych stron w sieci, oba skrypty znaleziono na 1110 stronach. Co ciekawe, ten pierwszy obecny jest na 63 stronach, z których aż 45 znajduje się w domenie .PL. Ich adresy znajdziecie pod koniec artykułu. Związek skryptu z naszym krajem jest dość oczywisty – firma za niego odpowiadająca to Cloud Technologies S.A z siedzibą w Warszawie.
Jak podaje Zaufana Trzecia Strona, polski skrypt wykrada login (najczęściej adres email), liczy jego skrót MD5 i wysyła do swojego serwera. Zbiera także takie dane przeglądarki jak listę wtyczek, obsługiwane typy plików, rozmiar ekranu, język, strefę czasową, wersję przeglądarki oraz informacje o systemie operacyjnym i procesorze. Pomaga to stworzyć unikatowy wzorzec umożliwiający śledzenie wykorzystania tej przeglądarki w sieci. Najważniejszy dla narzędzia śledzącego jest jednak adres email – identyfikuje on konkretnego użytkownika, bez względu na to, czy zmienia przeglądarkę, komputer, czy surfuje z domu czy z wakacji, czy z telefonu czy z laptopa. Co prawda firma twierdzi, że „nie zbiera danych osobowych”, ale śmiemy twierdzić, że skrót MD5 adresu email w przypadku wielu użytkowników można bardzo łatwo (w czasie kilku godzin) odwrócić atakiem słownikowym. Co prawda nie przeprowadzaliśmy takich testów, ale obstawiamy, że dla bazy polskich adresów email prosty atak słownikowy w oparciu o najpopularniejsze loginy, imiona i nazwiska oraz najpopularniejsze domeny pocztowe pozwoli zgadnąć przynajmniej 80 jak nie 90% adresów.
Co ważne, skrypty analizowane przez naukowców nie kradły haseł użytkowników – chociaż mogły. Mimo, że czytelnicy w komentarza wskazują, że odkodowanie maila i hasła to żaden problem ze względu na użytą metodę. Na tej stronie możecie przetestować, jak to działa w przypadku konkretnej, aktualnej przeglądarki. Tu można znaleźć pełna listę stron, na których skrypty znaleziono, a poniżej wyciąg tych z domeny .PL w kolejności od najpopularniejszych:
- wykop.pl
- money.pl
- tekstowo.pl
- dziennik.pl
- gazetaprawna.pl
- forsal.pl
- fotosik.pl
- auto.com.pl
- audiostereo.pl
- drhtv.com.pl
- szkolnictwo.pl
- pap.pl
- facetemjestem.pl
- nf.pl
- ising.pl
- pajacyk.pl
- domy.pl
- windows7forum.pl
- slowka.pl
- auto.pl
- gpwinfostrefa.pl
- analizy.pl
- profesor.pl
- 12zawodnik.pl
- inwestycje.pl
- e-podatnik.pl
- astromagia.pl
- wkuwanko.pl
- kreskowka.pl
- szafunia.pl
- pap.com.pl
- prawnik.pl
- damsko.pl
- sztuka-architektury.pl
- archinea.pl
- superpracodawca.pl
- wrozka.com.pl
- e-logistyka.pl
- weranda.pl
- rolpetrol.com.pl
- artinfo.pl
- anglisci.pl
- w210.pl
- tuningforum.pl
- codogara.pl
Jak wskazują w komentarza czytelnicy Zaufanej Trzeciej Strony, istnieje dalsze ryzyko odszyfrowania haseł do pozyskanych w ten sposób kont mailowych.
Jak podaje Zaufana Trzecia Strona:
Analizując historię powiązań domeny behavioralengine.com znaleźlismy także ślady serwisów grupy Gazeta czy TVN.
źródło: zaufanatrzeciastrona.pl
[AKTUALIZACJA] Portal wGospodarce.pl otrzymał obszerniejsze wyjaśnienie i komentarz do publikacji od Piotra Prajsnara, prezesa Cloud Technologies (publikujemy w całości):
Cloud Technologies to spółka technologiczna, specjalizująca się w Big Data marketingu i monetyzacji danych. Jej autorska platforma DMP OnAudience.com przetwarza ponad 9 mld anonimowych profili internautów co czyni ją jednym z największych tego typu systemów na świecie. Dane gromadzone i przetwarzane przez Cloud Technologies pozwalają marketerom na personalizację kampanii reklamowych w Sieci oraz rozbudowywanie rozwiązań klasy Business Intelligence w firmach.
Ochrona danych osobowych jest dla nas kwestią o strategicznym znaczeniu. Dlatego oferujemy wyłącznie nieidentyfikowalne osobowo informacje. Surowe dane, które przetwarzane są na platformie DMP OnAudience.com są zawsze poddawane procesowi anonimizacji. Aby chronić prywatność użytkowników stosujemy losowy, alfanumeryczny identyfikator dla każdego urządzenia, na temat którego przetwarzamy dane. Dzięki temu internauci, których dotyczą pozyskane informacje, pozostają całkowicie anonimowi.
Opublikowany w serwisie Freedom to Tinker tekst na temat prywatności w sieci zawiera nieprecyzyjne oraz niezweryfikowane informacje dotyczące naszej działalności. Żałujemy, że autorzy tekstu nie skontaktowali się z nami w celu wyjaśnienia w jaki sposób działa nasza technologia i do czego jest wykorzystywana, co pozwoliłoby uniknąć występujących w artykule informacji, które zostały błędnie zinterpretowane.
W nawiązaniu do tego artykułu pojawiły się też inne publikacje, które są dla nas krzywdzące i zawierają błędy merytoryczne. Sugerują one jakoby nasza platforma DMP OnAudience.com pozyskiwała adresy mailowe internautów bez ich zgody. Nie jest to prawdą.
Jako firma specjalizująca się w Big Data marketingu oczywiście analizujemy cyfrowy ślad, lecz robimy wszystko, by zapewnić użytkownikom pełną anonimowość. Działamy zgodnie z regulacjami, które na terenie UE są szczególnie restrykcyjne, a po wprowadzeniu RODO – nowych przepisów o ochronie danych osobowych – jeszcze bardziej zwiększą poziom prywatności użytkowników.
Respektujemy mechanizmy przeglądarek internetowych, które wyłączają możliwość śledzenia internautów (np. Do Not Track). Oferujemy mechanizmy Opt-Out, zgodnie z którymi to użytkownik określa, jakich informacji nie chce przekazać podmiotom zewnętrznym. Korzystamy wyłącznie z danych, które są udostępniane przez przeglądarki internetowe.
Wszystkie dane zbierane przez naszą platformę DMP są automatycznie anonimizowane, a cyfrowe informacje dostępne w naszej hurtowni danych nigdy nie są zestawiane z danymi, które pozwoliłyby na identyfikację internautów.
Dane odgrywają bardzo ważną rolę w marketingu cyfrowym, a ich znaczenie będzie w najbliższych latach rosło. Dlatego dla rozwoju całej branży cyfrowej szczególnie ważne jest zbieranie wysokiej jakości danych i wykorzystywanie ich zgodnie z obowiązującymi przepisami. Cloud Technologies wykorzystuje zaawansowaną analitykę Big Data, aby dostarczać wysokiej jakości produkty i usługi dla branży internetowej, jednocześnie spełniając wszystkie regulacje prawne dotyczące prywatności internautów.
Wielu komentujących użytkowników poleca wyłączenie usługi autouzupełniania formularzy i przejście na rozwiązania zewnętrzne, jak KeePass. Wielu też poleca zwracać większą uwagę na podobne informacje. Na pewno nie zaszkodzi bardziej zwracać uwagę na własne rozsiewanie danych przez automatyczne zgody i pozostać na bieżąco z tematyką cyberbezpieczeństwa. Jeden z użytkowników w ten sposób komentuje:
Od kilkunastu lat wyłącznie z KeePassa. Więc kiedy wbiłem na tę stronę demo nic mi się nie pokazało po wpisaniu fałszywego e-maila i hasła. Ale trzeba sobie powiedzieć, że naprawdę prywatności w sieci trzeba się nauczyć, a potem dobre zwyczaje tylko pielęgnować. Nie jestem wielce programistą, hackerem, crackerem i ciul wie co jeszcze, ale staram się stosować do pewnych prostych zasad i do tej pory to działa. Choćby zaglądanie na takie strony jak Z3S to właśnie dobry zwyczaj. Lepiej poczytać co w bezpieczeństwie piszczy niż kolejny artykuł z pupy o tym, że jakaś „celebrytka” powiększyła sobie biust - pisze Jarek.
mw