Hirdetés

Egyes weboldalak már a beküldés előtt elmentik az e-mail címünket, olykor még a jelszavakat is

|

Egy friss kutatás szerint a harmadik féltől származó követőprogramok élőben monitorozzák a weboldalakon beírt adatainkat.

Hirdetés

Az elmúlt hetekben több cikkben is foglalkoztunk a jelszavak témájával, egyrészt megmutatva az N-able kutatását, amely szerint az emberek még mindig kitartanak a nevetségesen gyenge belépési kódok mellett, másrészt pedig beszámoltunk a Google, a Microsoft és az Apple által is támogatott megoldásról, amely végleg kiradírozná a képletből ezt a biztonsági kockázatot jelentő megoldást. Most pedig itt egy újabb sztori, ami azt látszik bizonyítani, hogy a pusztán csak az e-mail címre és jelszóra épített védelem lyukasabb lehet, mint egy törött szita.

A Leuveni Katolikus Egyetem, a Radbound Egyetem és a Lausanne Egyetem kutatói ugyanis arra jutottak, hogy számos weboldalon a beágyazott harmadik féltől származó követők élőben regisztrálják a billentyűzeten lenyomott gombokat és az egérmozgást.

Hirdetés

A gyakorlatban ez azt jelenti, hogy a trackerek már azelőtt elmenthetik az adatainkat, köztük az e-mail címet és esetenként a jelszavunkat is, hogy ténylegesen regisztráltunk volna.

"Bizonyos harmadik felek karakterenként küldik el az e-mail címeket, ahogy a felhasználók beírják azokat. Úgy tűnik, hogy ez a viselkedés a munkamenet-visszajátszási szkripteknek köszönhető, amelyek összegyűjtik a felhasználók interakcióit az oldallal, beleértve a billentyűk lenyomását és az egér mozgását."

- mondják a kutatók. A tavaly májusban elvégzett vizsgálat során a 100 legnépszerűbb weblap összesen 2,8 millió oldalán rágták át magukat, és azt találták, hogy az Európai Unióban 1844, az Egyesült Államokban pedig 2950 webhely tette lehetővé az e-mail címek benyújtás előtti rögzítését.

Az alábbi táblázatban azok az oldalak láthatók, ahol a harmadik féltől származó trackerek a legserényebben gyűjtötték és küldték tovább - jellemzően elemzési és marketing célú felhasználásra - az e-mail címeket. A listán olyan ismerős nevek sorakoznak, mint az Adobe, az Oracle, Salesforce vagy a Facebook.

Ami viszont még aggasztóbb, hogy 52 weboldal ugyanezzel a módszerrel a jelszavakat is begyűjtötte, ezek között az orosz Yandex kereső, a Mixpanel és a LogRocket vezette a mezőnyt. Ezt a problémát ugyanakkor azóta orvosolták, miután a kutatók bizalmasan értesítették róla az üzemeltetőket. A kutatás következtetése, hogy a divat, az online vásárlás, az általános jellegű híroldalak, a szoftver/hardver és az üzlet a követők által leginkább fertőzött kategóriák, míg az erotikus tartalmakat kínáló weblapokon több száz oldal átvizsgálása után sem találtak az e-mailek kiszivárogtatására utaló jeleket.

A kutatásban felvázolt problémára megoldás lehet, ha olyan követés-blokkoló böngészős bővítményeket használunk, mint például a uBlock Origin, vagy átváltunk egy alapértelmezett követéskorlátozással felvértezett böngészőre, ilyen például a nemrég asztali verzióban is elérhetővé vált DuckDuckGo is.

Komolyabban érdekel az IT? Informatikai, infokommunikációs döntéshozóknak szóló híreinket és elemzéseinket itt találod.

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.