Annonsföretag på internet spårar dig via lösenordshanteraren i webbläsaren

En oroväckande trend där annonsföretag på internet spårar användare genom sina lösenordshanterare har upptäckts.

  • Annonsföretag kan samla in användarnamn och lösenord från din webbläsare
  • Enda lösningen är att byta till extern lösenordshanterare
  • Svårt för utvecklarna att fixa problemet i webbläsarna
  • Kan blir ett stort (kostsamt) problem för sajtägare med GDPR under 2018
  • Kan du gissa vilka de populäraste lösenorden var för 2017?

Enligt ny forskning från Princeton Center for Information Technology Policy är det lösenordshanteraren som är inbyggd i webbläsarna som används för spårning.

Tillvägagångssättet identifierades genom att forskare undersökte två skript — AdThink och OnAudience — som används för att hämta information från lösenordshanterare i webbläsare.

Skripten skapar osynliga rutor som automatiskt fylls i när användaren använder webbläsarens lösenordshanterare för att logga in på webbsajter.

Så här går det till när skripten används

skript-adthink-autofill-hash
Bildkälla: Freedom-to-tinker.com

Vad du ser:

  1. Du besöker en webbsajt som du vill logga in på
  2. När inloggningsrutan visas fyller du i uppgifterna med webbläsarens lösenordshanterare
  3. Inloggningsformuläret fylls i och du klickar på OK
  4. Du loggas in på sajten

Vad du INTE ser:

  1. När du besöker webbsajten du vill logga in på laddas AdThink- eller OnAudience-skriptet
  2. Skriptet skapar ett dolt formulär i bakgrunden
  3. När du använder lösenordshanteraren snappar skriptet upp din e-postadress
  4. E-postadressen omvandlas till en unik hashsträng och lagras på en server
  5. Du kategoriseras utifrån vilken typ av webbsajt du besöker

Vill du själv prova hur det fungerar? Här är en demosida som du kan testa skripten på. Glöm inte att använda en fejkad e-postadress och lösenord.

Skapar ett permanent ID som följer dig på internet

Informationen som skripten samlar på sig om användarna kan användas för att skapa ett permanent ID (hash) som följer med från webbsajt till webbsajt. Detta kan i sin tur användas för att spåra vilka typer av sajter användarna besöker och därmed blir det enkelt att rikta reklam som är speciellt designad på individnivå.

Här är några av de kategorier som exempelvis AdThink kan placera dig i:

birth date, age, gender, nationality, height, weight, BMI (body mass index), hair_color (black, brown, blond, auburn, chestnut, red, gray, white), eye_color (amber, blue, brown, grey, green), education, occupation, net_income, raw_income, relationship states, seek_for_gender (m, f, transman, transwoman, couple), pets, location (postcode, town, state, country), loan (type, amount, duration, overindebted), insurance (car, motorbike, home, pet, health, life), card_risk (chargeback, fraud_attempt), has_car(make, model, type, registration, model year, fuel type), tobacco, alcohol, travel (from, to, departure, return), car_hire_driver_age, hotel_stars

AdThink kan alltså kategorisera dig som transperson och överskuldsatt om du besöker ”rätt” webbsajter.

En otäck sak med skripten är att de inte bara kan samla på sig användarnamn utan även lösenord. Tacksamt nog är det inget något av skripten gör i skrivande stund.

Nämnvärt är att skripten endast fungerar med webbläsarnas inbyggda lösenordshanterare. Om du redan använder 1Password eller LastPass är du skyddad då dessa inte omfattas av problemet.

Lösenordshanterarna i webbläsarna måste byggas om

Enda sättet att komma runt problemet är att använda en extern lösenordshanterare eller bygga om de inbyggda i webbläsarna. Enligt Arvind Narayanan som är forskare på Princeton är det en komplicerad process att lösa problemet direkt i webbläsarna, dock fullt möjligt.

En annan utmaning är att få sajtägarna som kör skripten att förstå vad de faktiskt utsätter sina besökare för, och få dem att byta till något annat.

AdThink drivs av AudienceInsights och skickar sin information till Acxiom som hanterar enorma mängder data om internetanvändare, insamlad i gigantiska databaser. NyTimes skriver 2012 att företaget kan ha världens då största konsumentdatabas med information om fler än 500 miljoner aktiva konsumenter världen runt.

Cloud Technologies som tillhandahåller OnAudience skriver så här som svar kring nyheten:

”As a Big Data company, we do our best not only to collect sufficient amount of data about internet users but also to protect their privacy and security. As it is clearly visible in our scripts we are not gathering e-mail addresses or passwords. In fact we collect anonymous e-mail shortcuts generated by well-known and widely used hashing algorithm. This method is commonly used in modern marketing automation platforms and is supported by the leading ad technology providers. We used them for the sole purpose of e-mail retargeting using double opt-in mailing lists on behalf of our customers. In this case the script was gathering data for our legacy platform BehavioralEngine.com.

Our DMP OnAudience.com is a completely different technology and uses other methods to gather information. Moreover, there is no exchange of data between BehavioralEngine and OnAudience. All data gathered by our DMP is automatically anonymised and processed in real time by its machine learning algorithms to ensure the highest precision in ad targeting and other marketing activities carried out for our clients. Digital information available in our data warehouse is never combined with any data, that would allow crackers to identify people online. Since we started our activity there has never been any incident of that sort although we process over 9 billion anonymous profiles of Internet users from around the globe”, skriver Piotr Prajsnar, VD på Cloud Technologies.

En enkel sammanfattning av texten ovan är att Cloud Technologies inte anser sig göra något fel. Kort och enkelt.

Vad tycker du?