Рекламні та аналітичні компанії можуть таємно витягати з браузерів логіни за допомогою прихованих полів авторизації та ідентифікувати профілі або електронну пошту неавторизованих користувачів на сайтах, попереджають дослідники з Прінстонського університету.
Проблема криється в недоробці дизайну включених у всі браузери диспетчерів паролів, які дозволяють запам'ятовувати логіни/паролі для певних сайтів і автоматично вказувати їх у поле авторизації. За словами експертів, web-трекери можуть впроваджувати приховані форми авторизації на ресурси, де є відстежують скрипти, і таким чином отримувати доступ до імен користувачів і паролів.
Хоча даний трюк відомий вже більше десяти років, до недавнього часу його використовували тільки хакери при зборі даних аутентифікації в ході XSS (міжсайтовий скриптинг) – атак. Однак подібну практику переймають і рекламні компанії.
За що можуть зупинити пенсійні виплати: про цю причину знають не всі
Батьків змусять все пояснити: школи виставляють жорсткі вимоги
Плюс 1000 грн до пенсії: три умови для отримання надбавки
Соціальні виплати призупинили: чому та кому їх заблокували
Дослідники виявили два таких сервісу - Adthink (audienceinsights.net) і OnAudience (behavioralengine.com), які використовують приховані скрипти для збору інформації про логіни користувачів на 1 100 сайтах, що входять список популярних ресурсів Alexa. Дані сервіси збирали не паролі, а тільки відомості про логіни і електронні адреси, в залежності від використовуваних на тому чи іншому сайті параметрів для авторизації.
Раніше портал "Знай.uа" повідомило, що Apple навчить голосових помічників пліткувати.