Nell’era dell’imminente avvento del nuovo regolamento privacy GDPR, ci troviamo a parlare di un utilizzo improprio (dicasi anche sfruttamento illegale) dei dati degli utenti che navigano nel web. Il tutto, naturalmente, a loro insaputa. Una vulnerabilità colpisce uno degli strumenti che facilita la vita di tutti noi: il gestore di password dei browser che autocompila in modo protetto le credenziali degli account quando una pagina web le richiede.
Gestore di password dei browser, vecchi e nuovi difetti
Del fatto che il password manager presente in varie forme sui principali browser (Firefox, Chrome, Edge, Safari, …) possa celare un rischio di furto di credenziali di accesso da parte di hacker si è disquisito negli anni.
Non si ravvisano recentemente casi particolari di attacchi informatici, tuttavia si sta affacciando un nuovo fenomeno, il tracking delle abitudini di navigazione degli utenti senza il loro consenso.
Tracking utenti per attività marketing non autorizzate
Ma come funziona e cosa accade quando si utilizza un login manager? Il meccanismo è davvero molto simile a quello che potrebbe utilizzare un hacker. Ecco i tre passi attraverso i quali vengono carpiti i dati:
- Tramite il password manager vengono installate alcune righe di codice (uno script) con un campo per il login che risulta del tutto invisibile a un utente ma che in realtà è ben presente.
- Il browser di turno (che invece riesce a “vedere” la casella perché segue le istruzioni del codice), aiuta nell’autocompilazione e inserisce in automatico il nome utente.
- Lo script trasmette le informazioni ai server delle società che raccolgono i dati a fini pubblicitari. L’utente è quindi schedato.
Vediamo in questo video, ecco come agisce lo script:
E, sul sito di Steven Englehardt (uno studente dell’Università di Princeton), un test (in lingua inglese) che permette di analizzare i propri browser, per capire se è attivo lo script del gestore di password che consente il tracking comportamentale.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Il risultato? Dati freschi a società pubblicitarie
E’ presto detto: siamo tracciati senza consenso, terze parti non autorizzate conoscono le nostre abitudini comportamentali e ci propongono pubblicità mirate. Una cosa certamente utile quando si è d’accordo, ma una scocciatura (e un senso di insicurezza) quando non si è a conoscenza dell’utilizzo dei nostri dati!
Gli accusati del furto dei dati
Come cita l’autorevole Hacker News, le società che principalmente praticano questo abuso di raccolta dati non consensati sono AdThink e OnAudience (ma anche altre), che tra l’altro hanno tracciato gli utenti di oltre 1.000 siti rientranti nella “Top 1 Million Websites” di Alexa. Una mole di dati e informazioni incredibile.
Affidabile come i cookie? No. Di più…
Questi script presenti e utilizzati dal gestore di password non lavorano solo su dati quali cookies, ma collezionano molto spesso dati come le mail degli utenti. Un dato molto sensibile, ma anche molto preciso per tracciare un’identità.
I password manager più affidabili
I login manager più sicuri sono quelli che richiedono un’interazione da parte di un utente, che non automatizzano completamente dall’inizio alla fine. Per citare due esempi, sono da ritenere affidabili LastPass and 1Password.
La sicurezza informatica gestita come prevenzione per le aziende
Per un utente medio è impossibile avere il controllo di tutto ciò che si fa nel web. Come facciamo a essere sicuri che nessuno ci stia tracciando senza il nostro consenso? O che qualcuno sta sottraendo dei dati sensibili?
Un servizio di sicurezza informatica gestita (importante soprattutto nelle aziende, anche piccole) permette un monitoraggio 24 ore su 24 di attività anomale (attacchi o tentativi di data breach) in arrivo dal web. Se siamo di fronte a un evento come quello di cui abbiamo disquisito oggi, un esperto informatico analizzerà il traffico dati, inviando un allerta e suggerendo contromisure e best practice per non trasmettere informazioni non autorizzate a sconosciuti e terze parti.
Interessato ai servizi di sicurezza informatica gestita per aziende? Chiedi maggiori informazioni:
CHIEDI INFORMAZIONI