«Дырявые» формы регистрации
Группа исследователей из Левенского католического университета, а также университетов Неймегена и Лозанны выяснила, что многие сайты собирают персональные данные пользователей с помощью «дырявых» форм регистрации. Результаты ученых были объединены в материал под названием Leaky Forms.
Это значит, что, когда пользователь заполняет поля при регистрации на той или иной платформе, компании копируют и сохраняют всю информацию еще до того, как пользователь нажмет кнопку «отправить». При этом отмена процесса не влияет на результат — данные сохраняются автоматически при начале заполнения.
«Дырявые» формы работают по принципу кейлоггеров – это вредоносное ПО, которое регистрирует нажатие клавиш пользователя и движение курсора мыши. Именно таким образом некоторые сайты собирают пользовательские данные. Другие же получают информацию прямо из полей формы. Например, посетитель нажал на поле пароля, а в это время сайт скопировал данные из уже заполненного поля «электронная почта».
По данным исследования, около 5 тыс. сайтов собирали данные пользователей из Европы и США, в том числе и тех, которые прервали процесс регистрации.
Это привело к утечке свыше 7 тыс. e-mail-адресов.
Инструменты, получающие сведения о том, что именно человек вводит в форму, применяются не на всех сайтах, но в целом весьма популярны, считает руководитель отдела анализа цифровых угроз Infosecurity a Softline Company Александр Вураско.
«Главная их цель – отслеживать потенциальных покупателей, которые передумали в последний момент. Это так называемые маркетинговые трекеры. Они используются как за пределами России, так и на российских ресурсах. Данный функционал является лишь одним из инструментов, предназначенных для отслеживания активности пользователей.
Ни для кого не будет секретом, что сайты могут определять, откуда к ним попал пользователь, по какой ссылке он кликнул, какие товары смотрел, какую операционную систему и браузер он использует и многое другое.
Все это позволяет сформировать уникальный отпечаток пользователя и может потом быть продано рекламным компаниям для лучшего таргетирования рекламы», – объяснил Вураско.
Некоторые сайты даже сохраняли хеши паролей. Хеширование — это однонаправленный процесс, при котором информация преобразуется в определенный набор символов. Однако, по словам руководителя направления развития продуктов Crosstech Solutions Group Антона Чумакова, злоумышленники могут расшифровать этот хеш пароля.
«Дело в том, что пользователи часто придумывают стандартные пароли, например, qwerty, которые давно известны злоумышленникам. Многим может показаться, что если перехвачен хеш пароля, то взлома можно не ждать. Однако хеши тоже известны хакерам — они создают радужные таблицы [таблицы поиска для использования криптографических хеш-функций — «Газета.Ru»], содержащие пары пароль-хэш, и благодаря им знают, что, например, хэш d8578edf8458ce06fbc5bb76a58c5ca4 соответствует паролю «qwerty». Кроме того, не стоит забывать о риске утечки собранной таким образом базы данных», — объяснил Чумаков.
Как закрыть дыру
Поскольку результаты исследования показывают, что удаления данных в форме перед ее отправкой может быть недостаточно, ученые разработали расширение LeakInspector для браузера Firefox для обнаружения подобных «дырявых» форм.
Обычному человеку практически невозможно оценить безопасность форм и узнать, что еще до его согласия информация отправляется в базу данных. Чтобы этого не допустить, эксперты советуют с осторожностью относиться к своим данным и не регистрироваться на подозрительных сайтах. Кроме того, можно воспользоваться специальными сервисами.
«Например, WHOIS или 2IP, которые бесплатно предоставляют информацию о зарегистрированном домене. Если он создан недавно или внесен в список зловредных, пользователям стоит с осторожностью вносить персональные данные. Чтобы обнаружить подобную махинацию, можно использовать браузер в режиме разработчика для отслеживания действий скриптов сайта и контролировать отправку данных во время заполнения формы. Аналогичный подход использовали авторы в своем исследовании, дополнительно расшифровывая информацию, которая могла быть передана третьим лицам, для подтверждения своей гипотезы», — посоветовал эксперт по информационной безопасности Лиги цифровой экономики Андрей Слободчиков.