行銷公司網頁追蹤碼騙瀏覽器,吐出個資漏隱私

作者 | 發布日期 2017 年 12 月 29 日 16:51 | 分類 資訊安全 follow us in feedly

網頁瀏覽器的自動完成功能相當方便,可以填入先前記錄的帳號、Email、密號等資訊,但卻可能遭到人濫用。本週三,普林斯頓大學的研究者聲稱他們發現兩家行銷公司濫用瀏覽器方便的自動完成功能,讓使用者無意識下洩漏他們的 Email 等個人隱私資料。




研究者稱兩家行銷公司插入的追蹤腳本,有看不到,隱形的表單,會觸發瀏覽器的自動完成功能,接著從中竊取使用的登入資訊。研究者還架了示範網站示範怎麼做到,並表示主流的瀏覽器 Firefox、Chrome、Safari、Edge 都受到影響,共有 1,100 個網站擁有隱形表單腳本。

兩家歐家的行銷公司 Adthink 和 OnAudience 使用含有隱形表單的腳本,所幸並沒有攔截密碼,而只有電子郵件被記錄下來,而電子郵件以 hash 方式處理。兩家公司回應他們相當看重使用者的隱私,不會收集使用者帳號和密碼。所有收集到的資料都已經去識別化了。

▲ 依示範網站的指示,觸發瀏覽器的自動完成功能,最後拿到使用者輸入的資料。

不過這次並不是第一次揭露自動完成功能的問題,但這是第一次用到網站使用者追蹤上面。今天年初的時候,芬蘭網頁開發者暨白帽駭客 Viljami Kuosmanen,就在 Github 公布實作的程式碼和範例網站,示範如何運用該功能取得使用者個人資訊。

由於追查到的行銷公司可能分佈在異地的小公司,通常急於賺錢,而在意行為妥不妥當。網站經營者也未留意第三方埋入的廣告追蹤程式,因此使用者最好的應對方式為關掉自動完成功能。

(首圖來源:pixabay)