Popularne polskie serwisy wykradają adresy email by śledzić użytkowników

Serwisy takie jak Wykop.pl, Money.pl, Dziennik.pl, PAP.pl czy Pajacyk.pl używają skryptów śledzących, które wykradają Wasze adresy email z menedżerów haseł w przeglądarkach by skuteczniej śledzić Wasze ruchy w sieci.

Badacze z Uniwersytetu Princeton opisali praktyki kilku narzędzi do śledzenia w sieci użytkowników, które sięgają bardzo daleko w nasza prywatność, między innymi wykradając adresy email zapamiętane w popularnych przeglądarkach. Jedno z tych narzędzi jest dość popularne w Polsce i korzysta z niego wiele znanych witryn.

Co robią skrypty śledzące

Gdy zakładacie konto lub logujecie się w internetowym serwisie, to przeglądarka często może Was zapytać, czy zapisać Wasz login i hasło. Kiedyś odradzalibyśmy Wam takie rozwiązanie, ale dzisiaj poziom bezpieczeństwa haseł przechowywanych w przeglądarkach jest dużo wyższy niż kilka lat temu i nie sprzeciwiamy się już tak zdecydowanie temu rozwiązaniu, bo pozwala wielu użytkownikom, którzy nie potrafią lub nie chcą korzystać z osobnego menedżera haseł, stosować unikatowe hasła na różnych stronach w sieci. Na stronie logowania często nie ma skryptów śledzących – taki poziom przyzwoitości reprezentuje wiele serwisów. Niestety okazuje się, że niektóre skrypty śledzące, obecne na kolejnych stronach serwisów, wstrzykują do nich niewidoczne formularze logowania by wykradać Wasze loginy / adresy email, wypełniane automatycznie przez przeglądarki. To karygodne zachowanie stanowi daleko idącą ingerencję w Waszą prywatność. Na poniższym obrazku możecie zobaczyć schemat tego procesu.

Spośród setek, jak nie tysięcy skryptów śledzących, badacze znaleźli tylko dwa nadużywające w ten sposób menedżerów haseł. Jednym z nich okazał się skrypt OnAudience, korzystający z domeny behavioralengine.com, drugim Adthink z domeny audienceinsights.net. Spośród miliona najpopularniejszych stron w sieci, oba skrypty znaleziono na 1110 stronach. Co ciekawe, ten pierwszy obecny jest na 63 stronach, z których aż 45 znajduje się w domenie .PL. Ich adresy znajdziecie pod koniec artykułu. Związek skryptu z naszym krajem jest dość oczywisty – firma za niego odpowiadająca to Cloud Technologies S.A z siedzibą w Warszawie.

Polski skrypt wykrada login (najczęściej adres email), liczy jego skrót MD5 i wysyła do swojego serwera. Zbiera także takie dane przeglądarki jak listę wtyczek, obsługiwane typy plików, rozmiar ekranu, język, strefę czasową, wersję przeglądarki oraz informacje o systemie operacyjnym i procesorze. Pomaga to stworzyć unikatowy wzorzec umożliwiający śledzenie wykorzystania tej przeglądarki w sieci. Najważniejszy dla narzędzia śledzącego jest jednak adres email – identyfikuje on konkretnego użytkownika, bez względu na to, czy zmienia przeglądarkę, komputer, czy surfuje z domu czy z wakacji, czy z telefonu czy z laptopa. Co prawda firma twierdzi, że „nie zbiera danych osobowych”, ale śmiemy twierdzić, że skrót MD5 adresu email w przypadku wielu użytkowników można bardzo łatwo (w czasie kilku godzin) odwrócić atakiem słownikowym. Co prawda nie przeprowadzaliśmy takich testów, ale obstawiamy, że dla bazy polskich adresów email prosty atak słownikowy w oparciu o najpopularniejsze loginy, imiona i nazwiska oraz najpopularniejsze domeny pocztowe pozwoli zgadnąć przynajmniej 80 jak nie 90% adresów.

Co ważne, skrypty analizowane przez naukowców nie kradły Waszych haseł – chociaż mogły. Na tej stronie możecie przetestować, jak to działa w przypadku Waszej przeglądarki. Tu znajdziecie pełna listę stron, na których skrypty znaleziono, a poniżej wyciąg tych z domeny .PL w kolejności od najpopularniejszych.

wykop.pl money.pl tekstowo.pl dziennik.pl gazetaprawna.pl forsal.pl fotosik.pl auto.com.pl audiostereo.pl drhtv.com.pl szkolnictwo.pl pap.pl facetemjestem.pl nf.pl ising.pl pajacyk.pl domy.pl windows7forum.pl slowka.pl auto.pl gpwinfostrefa.pl analizy.pl profesor.pl 12zawodnik.pl inwestycje.pl e-podatnik.pl astromagia.pl wkuwanko.pl kreskowka.pl szafunia.pl pap.com.pl prawnik.pl damsko.pl sztuka-architektury.pl archinea.pl superpracodawca.pl wrozka.com.pl e-logistyka.pl weranda.pl rolpetrol.com.pl artinfo.pl anglisci.pl w210.pl tuningforum.pl codogara.pl

Analizując historię powiązań domeny behavioralengine.com znaleźlismy także ślady serwisów grupy Gazeta czy TVN.

Rekomendacje

Na szczęście aby uniknąć ryzyka sprofilowania przez wykradzenie adresu email wystarczy korzystać z jednej z wtyczek blokujących reklamy i skrypty śledzące – mamy nadzieję, że wszyscy to robicie. Jeśli tych skryptów nie blokuje, to dodajcie sobie listę EasyPrivacy. Mamy też nadzieję, że ciągle rozwijane standardy stron WWW pozwolą wdrożyć technologie utrudniające śledzenie użytkowników. Niestety na razie wygląda na to, że firmy zarabiające na profilowaniu internautów nie cofną się przed niczym, by jeszcze lepiej nas namierzać.

Aktualizacja 2018-01-01 23:00

Otrzymaliśmy komentarz Piotra Prajsnara, CEO Cloud Technologies, który zamieszczamy w całości.

Jako firma specjalizująca się w Big Data marketingu robimy wszystko, by nie tylko gromadzić jak najwięcej istotnych informacji o internautach lecz również by chronić ich prywatność zapewniając im pełną anonimowość. Jak widać to doskonale w naszych skryptach, nie gromadzimy adresów e-mail lecz ich skróty wygenerowane przez funkcję haszującą. W tym przypadku jest to powszechnie znany algorytm MD5, powszechnie wykorzystywany przez platformy marketing automation i wspierany przez wiodących dostawców technologii. Zakodowane w ten sposób skróty były wykorzystywane do zamawiania wysyłek w zewnętrznych bazach mailingowych w ramach e-mail retargetingu. W tym przypadku skrypt zbierał dane dla platformy BehavioralEngine.com. Nasza DMP OnAudience.com bazuje na innej technologii i wykorzystuje odmienne metody do gromadzenia informacji. Ponadto, nie ma wymiany danych pomiędzy BehavioralEngine i OnAudience. Wszystkie dane zbierane przez naszą DMP są automatycznie anonimizowane. Cyfrowe informacje dostępne w naszej hurtowni danych nigdy nie są zestawiane z danymi, które pozwoliłyby crackerom na identyfikację internautów. Odkąd rozpoczęliśmy naszą działalność taki incydent nigdy nie zaistniał, mimo że przetwarzamy już ponad 9 miliardów anonimowych profili internautów z całego świata.

Dziękujemy Czytelnikom, którzy wskazali nam temat do opisania.