שמות המשתמש והסיסמאות שנתתם לדפדפן שלכם לזכור נמסרים לגורמי צד שלישי ללא רשותכם, כך חושף מחקר חדש של המרכז למדיניות טכנולוגיות מידע באוניברסיטת פרינסטון, שנערך במסגרת סדרת "אין גבולות" למחקרים בנוגע לריגול ברשת.
חוקרים מהמרכז בדקו ומצאו ש-1,110 מתוך מיליון האתרים המובילים בעולם לפי Alexa (כלומר 1.1%) כוללים קוד של שתי חברות - AdThink ו-OnAudience - שמיועד להתאים פרסומות לגולשים, אך למעשה מנצל פריצה בזוכרי הסיסמאות המשולבים כיום בכל הדפדפנים כדי לעקוב אחרי גולשים ברחבי האינטרנט.
הריגול עובד כך: כאשר משתמש נרשם לאתר, הוא מזין שם משתמש וסיסמה בטופס המוצג על המסך. זוכר הסיסמאות של הדפדפן מציע לו לזכור את הפרטים הללו ולהזין אותם בכל פעם שייכנס לאתר בעתיד. בדפים אחרים באתר נמצא קוד התאמת הפרסומות, ש"מזריק" טופס שם משתמש וסיסמה בלתי נראה לגולש. אבל הדפדפן רואה אותו ומזין אליו את שם המשתמש והסיסמה - והם נשלחים לחברת צד שלישית שאוספת את המידע על כל הדפים בהם ביקר המשתמש שהדפדפן שלו זוכר עבורו את שם הפרטים האלה.
בדף הניסיון הזה ניתן למלא פרטים מומצאים, ואז לראות איך הדף אליו אתם מועברים יודע מה הזנתם.
יצרניות הדפדפנים: זו לא פרצה
בעיקרון, העובדה ששם המשתמש מוזן בדפים אחרים של אתר בו המשתמש רשום לא נראית מפחידה - הרי האתר גם כך יודע מה כל משתמש עושה בו. אבל הבעיה היא ששתי החברות שמפעילות את קוד התאמת הפרסום עובדות עם אלפי אתרים - ויכולות לקשר בין אתרים שונים שביקרתם בהם בזכות הנטייה להשתמש באותו שם משתמש: כתובת המייל שלכם.
"כתובות מייל הן ייחודיות וקבועות, ולכן מהוות מזהה מעקב מצוין", מסבירים החוקרים. "כתובת המייל של משתמש לא תשתנה כמעט לעולם - ניקוי 'עוגיות', שימוש במצב גלישה פרטית או החלפת מכשירים לא תמנע מעקב. כתובת מייל יכולה לשמש לקשר בין פיסות של פרופיל מקוון המפוזרים בין דפדפנים, מכשירים ואפליקציות".
הפרצה הזו, שמאפשרת לחברה שאינה קשורה לאתר לאסוף את שמות המשתמש - ואף הסיסמאות, אם רק תנסה - ללא ידיעת המשתמשים, קיימת וידועה כבר כ-11 שנים, לפי החוקרים. יצרני הדפדפנים אינם טורחים לשנות את המצב, מכיוון שמבחינתם, כל עוד הגולש נמצא באותו אתר, אין בעיית אבטחה במילוי אוטומטי של שם המשתמש והסיסמה, ואילו אם ידרשו פעולה אקטיבית למילוי הפרטים זה יהפוך אותם למסורבלים מדי בעיני המשתמשים.
לדברי עורכי המחקר, יש מספר דרכים לסתום את הפרצה הזו: הקלה ביותר תהיה אם מנגנוני זכירת הסיסמאות בדפדפנים פשוט לא ימלאו את הפרטים לפני שהמשתמש מאשר להם לעשות זאת - אך כאמור, מפתחי הדפדפנים לא רוצים לעשות זאת; דרך אחרת תחייב את המשתמשים להתקין תוספי חסימת פרסומות, עדכניים שחוסמים גם את הקוד שמזייף טופס הזנת פרטים בלתי נראה כדי לדעת באילו דפים ביקרנו; שתי דרכים נוספות לסתום את הפרצה יאלצו את בעלי האתרים לשנות אותם: האחת היא "להזיז" את טפסי הזנת שמות המשתמש והסיסמאות לכתובת שונה, כדי שזוכרי הסיסמאות לא יזהו אותם כחלק מכל עמוד אחר באתר שקוד הפרסום "מוזרק" בו. לחילופין, יכולים בעלי האתרים לבודד את הקוד של חברות התאמת הפרסום שמבצעות את הריגול הזה, כך שהדפדפן יידע שלא מדובר בחלק מהאתר ולא יפול במלכודת של להזין אליו את פרטי המשתמש.
הבשורות הטובות היחידות של החוקרים הן שמתוך 50,000 אתרים שנותחו, אף אחד לא גנב גם סיסמאות, אלא "רק" כתובות מייל / שמות משתמש. בנוסף, מבדיקת NEXTER עולה כי ברשימת האתרים הכוללים את קוד הריגול לא נמצא אף אתר ישראלי (מלבד אתר של עמותת הסברה ישראלית שמכוונת לאירופה).
המחקר הזה מצטרף למחקר הקודם בסדרת "אין גבולות" של פרינסטון, שחשף כי אלפי אתרים מסוגלים לשחזר כל פעולה שביצעתם בזמן הגלישה בהם.