Az elmúlt hetekben több cikkben is foglalkoztunk a jelszavak témájával, egyrészt megmutatva az N-able kutatását, amely szerint az emberek még mindig kitartanak a nevetségesen gyenge belépési kódok mellett, másrészt pedig beszámoltunk a Google, a Microsoft és az Apple által is támogatott megoldásról, amely végleg kiradírozná a képletből ezt a biztonsági kockázatot jelentő megoldást. Most pedig itt egy újabb sztori, ami azt látszik bizonyítani, hogy a pusztán csak az e-mail címre és jelszóra épített védelem lyukasabb lehet, mint egy törött szita.
A Leuveni Katolikus Egyetem, a Radbound Egyetem és a Lausanne Egyetem kutatói ugyanis arra jutottak, hogy számos weboldalon a beágyazott harmadik féltől származó követők élőben regisztrálják a billentyűzeten lenyomott gombokat és az egérmozgást.
A gyakorlatban ez azt jelenti, hogy a trackerek már azelőtt elmenthetik az adatainkat, köztük az e-mail címet és esetenként a jelszavunkat is, hogy ténylegesen regisztráltunk volna.
"Bizonyos harmadik felek karakterenként küldik el az e-mail címeket, ahogy a felhasználók beírják azokat. Úgy tűnik, hogy ez a viselkedés a munkamenet-visszajátszási szkripteknek köszönhető, amelyek összegyűjtik a felhasználók interakcióit az oldallal, beleértve a billentyűk lenyomását és az egér mozgását."
- mondják a kutatók. A tavaly májusban elvégzett vizsgálat során a 100 legnépszerűbb weblap összesen 2,8 millió oldalán rágták át magukat, és azt találták, hogy az Európai Unióban 1844, az Egyesült Államokban pedig 2950 webhely tette lehetővé az e-mail címek benyújtás előtti rögzítését.
Az alábbi táblázatban azok az oldalak láthatók, ahol a harmadik féltől származó trackerek a legserényebben gyűjtötték és küldték tovább - jellemzően elemzési és marketing célú felhasználásra - az e-mail címeket. A listán olyan ismerős nevek sorakoznak, mint az Adobe, az Oracle, Salesforce vagy a Facebook.
Ami viszont még aggasztóbb, hogy 52 weboldal ugyanezzel a módszerrel a jelszavakat is begyűjtötte, ezek között az orosz Yandex kereső, a Mixpanel és a LogRocket vezette a mezőnyt. Ezt a problémát ugyanakkor azóta orvosolták, miután a kutatók bizalmasan értesítették róla az üzemeltetőket. A kutatás következtetése, hogy a divat, az online vásárlás, az általános jellegű híroldalak, a szoftver/hardver és az üzlet a követők által leginkább fertőzött kategóriák, míg az erotikus tartalmakat kínáló weblapokon több száz oldal átvizsgálása után sem találtak az e-mailek kiszivárogtatására utaló jeleket.
A kutatásban felvázolt problémára megoldás lehet, ha olyan követés-blokkoló böngészős bővítményeket használunk, mint például a uBlock Origin, vagy átváltunk egy alapértelmezett követéskorlátozással felvértezett böngészőre, ilyen például a nemrég asztali verzióban is elérhetővé vált DuckDuckGo is.
