חוקרים מאונ' פרינסטון: למפרסמים יש גישה לסיסמאות שלנו
מחקר חדש גילה כי תוספים חשאיים שמוטמנים באתרים יכולים ליירט את הסיסמאות, שמות המשתמש ומידע רב אחר שנשמר אוטומטית בשירותים מקוונים. נכון להיום, אין דרך לחסום את איסוף המידע הזה, או ניטור של השימוש בו
- לא לומדים: 123456 - הסיסמה הכי פופולרית ב-2017
- בפיתוח: סריקת הלב שלכם, במקום סיסמה או טביעת אצבע
- מדריך: נמאס לכם לשכוח סיסמאות? תנו לתוכנה לזכור בשבילכם
לדפדפנים רבים יש יכולת שמירת סיסמאות אוטומטית - כלי שחוסך לנו זמן בכניסה לשירותים מקוונים, וגם מקשה על האקרים ליירט את הסיסמה באמצעות קילוגרים (נוזקות שמתעדות את ההקלדה במכשיר). ואולם, יש מי שאוסף את הסיסמאות הללו גם מחוץ לדפדפן: שני תוספים שבעלי אתרים מתקינים, ונקראים OnAudience ו-AdThink.
התוספים הללו יוצרים טופסי הרשמה וירטואליים באופן חשאי, כך שבכל פעם שסיסמה נקלטת אוטומטית, היא תישמר גם דרך התוסף. לאחר מכן, מועבר המידע לחברות שסוחרות במידע פרטי, כמו Axicom.
אנשי מרכז חקר טכנולוגיות המידע מצאו שהתוספים מחפשים בעיקר שמות משתמש, כדי לדעת מתי נכנסתם לאתר ולכמה זמן. ואולם, שום דבר לא מונע מהן מלאסוף מידע אחר שממולא אוטומטית: סיסמאות, פרטי אשראי (בטופסי תשלום), פרטים אישיים כמקום מגורים או תעודת זהות (בהרשמה לשירותים חדשים) ועוד.
נכון להיום, אין כל דרך בה יכול המשתמש הממוצע כדי למנוע את איסוף המידע הזה, משום שהתוספים עוקפים התקנים כמו חוסמי פרסומות למיניהם. גם מומחי אבטחת מידע דנים בינם ובין עצמם בימים האחרונים בדבר פיתרון הולם.
מה מסוכן פה?
ארווינד נריאמן, פרופסור שעבד על המחקר, אמר לאתר The Verge כי מדובר בבעיה שדורשת פיתרון וכי האשם הוא במפעילי האתרים עצמם: "היינו רוצים לראות מוציאים לאור שולטים טוב יותר במה שעושים גורמי צד שלישי באתרים שלהם", הסביר. "מפעילי האתרים מאפשרים לאותם גורמים להריץ סקריפטים על האתר מבלי להבין את השלכותיהם".
בשלב זה, נראה שמפרסמים הם המוטבים העיקריים מפרצת הפרטיות הזו. ואולם, לא מן הנמנע שגם פושעי סייבר וממשלות יוכלו להשתמש במידע ששואבים התוספים: מנגנוני ממשל יכולים להשתמש בהם כדי לעקוב אחר מתנגדים ויריבים פוליטיים, פושעים יוכלו לאסוף ולמכור מידע, לגנוב כסף ועוד.
חשוב לזכור שכל איסוף מידע ללא בקרה מהווה סיכון, שאינו תמיד מחושב; שרתי ארגונים, ביניהם סוחרי מידע וחברות פרסום, נפרצים מפעם לפעם. במקרים מתועדים רבים, נמכר מידע לעבריינים בידי עובדי תאגידים שהחזיקו בגישה אליו. לפיכך, עלינו להיות מודעים למקרים אלה ולדרוש הגנה ופיקוח על המידע מספקי השירותים המקוונים ומגורמים רגולטוריים.