Los rastreadores web aprovechan errores en los administradores de inicio de sesión para robar nombres de usuario

Share this…

Los expertos en privacidad de Princeton advierten que las firmas de publicidad y análisis pueden extraer de forma secreta los nombres de usuario de los navegadores utilizando los campos de inicio de sesión ocultos y relacionar a los usuarios no autenticados que visitan un sitio con sus perfiles o correos electrónicos en ese dominio. Esto es algo que muchos usuarios que quieren mantener su privacidad, verán como negativo.

Rastreadores que roban nombres de usuario

Este tipo de comportamiento abusivo es posible debido a un error de diseño en los gestores de inicio de sesión incluidos en todos los navegadores. Los administradores de inicio de sesión permiten a los navegadores recordar el nombre de usuario y la contraseña de sitios específicos e insertarlo automáticamente en los campos de inicio de sesión cuando el usuario visita ese sitio de nuevo.

Los expertos dicen que los rastreadores web pueden incrustar formularios de inicio de sesión ocultos en los sitios donde se cargan los guiones de seguimiento. Debido a la forma en que los administradores de inicio de sesión funcionan, el navegador completará estos campos con la información de inicio de sesión del usuario, como el nombre de usuario y las contraseñas.

Este “truco” es antiguo. Se conoce desde hace más de una década, pero hasta ahora solo ha sido utilizado por piratas informáticos que intentaban recopilar información de inicio de sesión durante los ataques XSS. Este tipo de ataque permite a una tercera persona inyectar código JavaScript, por ejemplo, en páginas visitadas.

Los investigadores de Princeton añaden que recientemente encontraron dos servicios de seguimiento web que utilizan formularios de inicio de sesión ocultos para recopilar información de inicio de sesión.

Afortunadamente, ninguno de los dos servicios recopiló información de contraseñas, sino solo el nombre de usuario o la dirección de correo electrónico, según lo que usa cada dominio para el proceso de inicio de sesión.

Servidores

Los dos servicios son Adthink (audienceinsights.net) y OnAudience(behavioralengine.com), y los investigadores de Princeton dijeron que identificaron guiones de estos dos que recopilaron información de inicio de sesión en 1.110 sitios.

En este caso particular, las dos compañías estaban extrayendo el nombre de usuario/correo electrónico del campo de inicio de sesión. Creaban un hash y vinculando ese hash con el perfil publicitario existente del visitante del sitio.

Página de demostración

Los investigadores del Centro de Princeton para Políticas de Tecnología de la Información  también crearon una página de demostración que los usuarios pueden probar (usando credenciales falsas) y ver si el administrador de inicio de sesión de su navegador rellena el campo oculto.

Se puede ver que la gran mayoría de navegadores son vulnerables a esto. Los rastreadores pueden robar nombres de usuario.

La seguridad y privacidad es algo muy importante para los usuarios. Como siempre decimos, hay que contar con herramientas y programas de seguridad. Además, lo ideal es que estén actualizados a la última versión. Sólo así podremos hacer frente a posibles amenazas que ponga en riesgo el buen funcionamiento de nuestro equipo. Muchos tipos de malware requieren la interacción del usuario. Por ello el sentido común puede ser nuestra mejor arma. Siempre hay que estar alerta.

 Fuente:https://www.redeszone.net/2017/12/28/los-rastreadores-web-aprovechan-errores-los-administradores-inicio-sesion-robar-nombres-usuario/