image

Webformulieren lekken e-mailadressen en wachtwoorden aan adverteerders

woensdag 11 mei 2022, 14:58 door Redactie, 16 reacties

Wanneer internetgebruikers ergens willen inloggen of een online formulier invullen kunnen gegevens als e-mailadressen en wachtwoorden naar adverteerders en andere derde partijen worden gestuurd nog voordat erop de knop verzenden of inloggen is geklikt, zo stellen onderzoekers van de Radboud Universiteit, de KU Leuven en de universiteit van Lausanne (pdf).

Voor het onderzoek werden de 100.000 populairste websites op internet onderzocht. E-mailadressen van Europese gebruikers werden bij ruim achttienhonderd websites naar tracking-, marketing- en analyticsdomeinen doorgestuurd nog voordat gebruikers toestemming hadden gegeven of op versturen hadden geklikt. Werden dezelfde websites vanaf een Amerikaans ip-adres bezocht, dan ging het om bijna drieduizend websites.

Verder bleek dat op meer dan vijftig websites third-party session replay scripts actief waren die het wachtwoord van gebruikers verzamelden. Deze scripts verzamelen de interactie van gebruikers met de website, waaronder toetsaanslagen en muisbewegingen. De onderzoekers rapporteerden dit. Vervolgens hebben twee third-party trackers, die samen actief zijn op vijf miljoen websites, updates uitgebracht om het probleem te verhelpen.

Meta en TikTok

In een vervolgonderzoek zagen de onderzoekers dat Meta en TikTok gehashte persoonlijke informatie van webformulieren verzamelen, zelfs wanneer de gebruiker het formulier niet verstuurt en geen toestemming geeft. De onderzoekers waarschuwden beide bedrijven. Meta kwam snel met een reactie waarin het aangaf dat het probleem was doorgezet naar een engineeringteam. TikTok heeft volgens de onderzoekers nog geen reactie gegeven, maar werd ook later ingelicht.

"Gebaseerd op ons onderzoek moeten gebruikers ervan uitgaan dat de persoonlijke informatie die ze in webformulieren invullen door trackers kunnen worden verzameld, ook wanneer het formulier nooit wordt verstuurd. Gezien de omvang, inbreuk en onbedoelde neveneffecten, verdient het privacyprobleem dat we onderzochten meer aandacht van browserleveranciers, ontwikkelaars van privacytools en privacytoezichthouders", zo concluderen de onderzoekers.

Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector. Daarmee kunnen websites en eindgebruikers derde partijen controleren die zonder hun toestemming of medeweten persoonlijke informatie uit webformulieren verzamelen.

Image

Reacties (16)
11-05-2022, 15:01 door Anoniem
En dan nog zijn er mensen die tegen adblock/tracking preventie en VPN's zijn. Er zijn zelfs mensen die anonimiteit op internet willen verbieden.
11-05-2022, 15:05 door Anoniem
Geen LeakInspector in Firefox te vinden.
11-05-2022, 15:44 door Anoniem
Door Anoniem: Geen LeakInspector in Firefox te vinden.
Deze is in ontwikkeling
11-05-2022, 15:49 door Anoniem
Door Anoniem: Geen LeakInspector in Firefox te vinden.

Is nog in POC dus geen productie tool
11-05-2022, 16:07 door Anoniem
Bij gebruik van recaptcha (Google) schijnt het zo te zijn dat vooraf een screenshot gemaakt wordt. Deze wordt dan verzonden naar Google.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.

Zou graag willen vragen aan Google zelf of dit waar is. Dat gaat alleen niet; dan is de kans aannemelijk dat het waar is.
11-05-2022, 16:14 door Anoniem
Door Anoniem:
Door Anoniem: Geen LeakInspector in Firefox te vinden.
Deze is in ontwikkeling

Klopt, dat is verkeerd overgenomen door security.nl
Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector.
11-05-2022, 16:42 door Anoniem
Door Anoniem: Bij gebruik van recaptcha (Google) schijnt het zo te zijn dat vooraf een screenshot gemaakt wordt. Deze wordt dan verzonden naar Google.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.

Zou graag willen vragen aan Google zelf of dit waar is. Dat gaat alleen niet; dan is de kans aannemelijk dat het waar is.
Het is nog veel enger dan dat. Iedere stap over de betrokken website wordt bijgehouden omdat dat mogelijk iets zegt over menselijke/machine interactie. TransIP maakt gebruik van recaptcha (precies mijn reden om daar weg te gaan) en had voorheen een uitgebreide pagina met wat er precies allemaal gebeurd, helaas kan ik die nu niet meer terug vinden. Op google zelf kan ik hem niet voor je opzoeken maar daar zal het vast nog te vinden zijn. Hoe evil ik google ook vind, ze zijn over het algemeen wel eerlijk over hun datagraaien.
11-05-2022, 16:44 door Anoniem
"Het gaat om grote websites die miljoenen bezoekers trekken", zegt hoofdonderzoeker Asuman Senol. Dat zijn vooral sites van buiten Nederland, maar die natuurlijk wel door Nederlanders kunnen worden bezocht. [...] Onder de gevonden websites zitten maar vier sites die op .nl eindigen, waaronder die van Bruna en de Vogelbescherming.

https://nos.nl/artikel/2428358-adverteerders-kijken-mee-als-je-online-je-e-mailadres-invult

Bruna zegt dat het geen e-mailadressen doorstuurt; de Vogelbescherming was niet bereikbaar voor commentaar.
11-05-2022, 17:38 door Anoniem
“Dat helpt weer bij het tonen van gepersonaliseerde advertenties”

Ik moet de dag nog meemaken dat ik een advertentie zie die aansluit bij mijn “belevingswereld”.

En als de adverteerders zouden weten wat mijn belevingswereld is, adverteren ze niet met hun unieke propositie.

Misschien wordt het tijd dat zij zich eens gaan afvragen of ze eigenlijk niet worden bedonderd en een poot worden uitgedraaid door die tracking bedrijven.
11-05-2022, 18:11 door Anoniem
Door Anoniem:
Door Anoniem: Bij gebruik van recaptcha (Google) schijnt het zo te zijn dat vooraf een screenshot gemaakt wordt. Deze wordt dan verzonden naar Google.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.

Zou graag willen vragen aan Google zelf of dit waar is. Dat gaat alleen niet; dan is de kans aannemelijk dat het waar is.
Het is nog veel enger dan dat. Iedere stap over de betrokken website wordt bijgehouden omdat dat mogelijk iets zegt over menselijke/machine interactie. TransIP maakt gebruik van recaptcha (precies mijn reden om daar weg te gaan) en had voorheen een uitgebreide pagina met wat er precies allemaal gebeurd, helaas kan ik die nu niet meer terug vinden. Op google zelf kan ik hem niet voor je opzoeken maar daar zal het vast nog te vinden zijn. Hoe evil ik google ook vind, ze zijn over het algemeen wel eerlijk over hun datagraaien.

https://www.transip.nl/knowledgebase/artikel/3005-de-captcha-op-de-transip-website/
11-05-2022, 19:35 door nicolaasjan
Door Anoniem:
Door Anoniem:
Door Anoniem: Geen LeakInspector in Firefox te vinden.
Deze is in ontwikkeling

Klopt, dat is verkeerd overgenomen door security.nl
Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector.
GitHub:
https://github.com/asumansenol/leak-inspector

https://github.com/asumansenol/leak-inspector/issues/1

Our attempts to publish the add-on on the Chrome Web Store failed, because new uploads of Manifest v2 add-ons are not accepted. For leak detection, our add-on requires access to network request details, which will be disallowed in Manifest v3. We are working on publishing the add-on for Firefox.


In the meantime, it's possible to install LeakInspector by cloning
the https://github.com/asumansenol/leak-inspector repo, and following one of these instructions, depending on your browser:
https://developer.chrome.com/docs/extensions/mv3/getstarted/#unpacked
https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/Your_first_WebExtension#trying_it_out

We didn't want to publish these instructions on our webpage to avoid normalizing installing add-ons from websites--which can be a security risk.
11-05-2022, 23:32 door Anoniem
Door Anoniem: Bij gebruik van recaptcha (Google) schijnt het zo te zijn dat vooraf een screenshot gemaakt wordt. Deze wordt dan verzonden naar Google.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.

Ook als je op je eigen werk het initiatief neemt om dit soort problemen aan de kaak te stellen door je collega's te wijzen op dit soort privacyschendende constructies dan vinden ze je een zeurkous. De kleine groep mensen die dit soort problemen scherp zien zijn in de minderheid. Het woord 'privacywappie' heb ik ook weleens horen vallen. Die mensen die jouw klacht ontvangen vinden je een zeikerd.
12-05-2022, 09:18 door Anoniem
Door Anoniem: Bij gebruik van recaptcha (Google) schijnt het zo te zijn dat vooraf een screenshot gemaakt wordt. Deze wordt dan verzonden naar Google.

Als je dit wilt voorkomen moet je canvas en WebRTC blokkeren. Sowieso is canvas iets wat je niet standaard aan moet hebben staan.
12-05-2022, 10:28 door Anoniem
Ik gebruik altijd virtuele desktops met een desktop pager dus een screenshot zal alleen de site laten zien die dat
vraagt. Dat is de bedoeling ook denk ik. Men doet dit soort acties alleen op sites waar men kwaadwillenden wil
weren en op zich is dat wel goed.
12-05-2022, 11:30 door Anoniem
Door Anoniem: Ik gebruik altijd virtuele desktops met een desktop pager dus een screenshot zal alleen de site laten zien die dat
vraagt. Dat is de bedoeling ook denk ik. Men doet dit soort acties alleen op sites waar men kwaadwillenden wil
weren en op zich is dat wel goed.

Als ze niet WebRTC gebruiken wat altijd expliciet toegestaan moet worden, kunnen ze via de html2canvas enkel een snapshot van huidige pagina maken.

WebRTC kan je uitzetten in Firefox met:
user_pref("media.peerconnection.enabled", false);

Voor canvas zal je scripts moeten uitzetten of wellicht een addon moeten zoeken.
15-05-2022, 17:25 door Anoniem
Dit is niet GDPR-compliant - dus u kan klacht indienen via uw privacy-overheidsinstantie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.