تهدید ردیابی از طریق وب (Web Tracking Threat) می تواند خطر نقض امنیت سایبری را افزایش دهد.

محققان دانشگاه پرینستون اخیرا هشدار دادند که شرکت های ردیابی وب می توانند از مکانیزم های رمز عبور برای سرقت آدرس های کاربری و آدرس های ایمیل سوء استفاده کرده و باعث خطرات نقض امنیت سایبری شوند.
مرورگرهای رایج مانند Chrome، Safari و Firefox شامل یک سیستم مدیریت ورود برای ذخیره و بارگزاری نام کاربری و رمز عبور هنگام بازدید از یک سایت می باشند. محققان کشف کردند که ردیابهای وب می توانند از این تکنیک ، یعنی ورود اتوماتیک نام کاربری و پسورد، استفاده کنند و اطلاعات حساس را به صورت مخفی جمع آوری می کنند.
در حالیکه سوء استفاده از این نقص تاکنون بسیار محدود بوده است، مدیران و کاربران فناوری اطلاعات باید نسبت به اینگونه خطرات آگاه باشند و از تکنیکهایی استفاده کنند که خطرات بالقوه نقض امنیت سایبری را تا حد امکان کاهش دهد.

درک خطر سایبری

محققان مرکز سیاستهای فناوری اطلاعات پرینستون شواهدی دریافتند که شرکتهای ردیابی وب به طور مخفیانه فرمهای ورود را به صورت مخفی در سایتها وارد می کنند. سیستمهای مدیریت نام کاربری و پسورد که توسط مرورگرها استفاده میشود این فرمهای مخفی را با اطلاعات ورودی، مانند نام کاربری و رمز عبور، بدون اطلاع کاربر تکمیل می کنند.
کارشناسان مدتهاست که در مورد خطر امنیتی بالقوه درباره عملکرد سیستم تکمیل خودکار اطلاعات در مرورگرها هشدار داده اند. با این حال، محققان پرینستون اولین کارشناسانی هستند که شواهدی از این آسیب پذیری را که برای پیگیری افراد در وب استفاده میشود را ارائه می دهند.

آنها همچنین نسخه ای نمایشی از این فرمهای مخفی ایجاد کرده اند که به کاربران اجازه می دهد تا این نقص را در عمل را ببینند.
Brave تنها مرورگر بزرگی است که به تهدید نام کاربری و رمز عبور حساس نیست. در حالی که مرورگرهای مبتنی بر کروم عدم ذخیره نام کاربری و پسورد را تا تایید کاربر با کلیک کردن به تاخیر می اندازند، و این روشی قوی برای حفاظت نیست.

جزئیات شواهد تهدید ردیابی از طریق وب ترَکینگ

محققان پرینستون در یک پست وبلاگ گزارش دادند که آنها دو سرویس ردیابی وب، Adthink و OnAudience را پیدا کردند که از فرم های ورود به سیستم برای جمع آوری اطلاعات حساس استفاده می کنند. این سرویس ها از طریق اسکریپت های ردیابی جاسازی شده در ۱۱۱۰ وب سایت جمع آوری شده است.
مجله PC اشاره میکند: خبر خوب این است که هیچ یک از این شرکت ها اطلاعات رمز عبور را جمع آوری نکرده اند. در عوض آنها بر ایجاد هش های آدرس ایمیلها تمرکز کرده اند. Gunes Acar ، پژوهشگر پرینستون، به این نشریه گفت که آدرس های ایمیل هش شده این شرکتها را قادر می سازد تا ردیابی کاربران خود را بهبود ببخشند، حتی اگر این افراد کوکی ها یا دستگاه های خود را دستکاری و تغییر دهند.
Acar گفت که مشخص نیست که داده ها چگونه می توانند مورد استفاده قرار گیرند. همکارش Arvind Narayanan نیز میگوید که ناشران معمولا از درج اسکریپت های شخص ثالث که می توانند برای جمع آوری داده ها استفاده کنند، بی اطلاع هستند. هر گونه خطر بالقوه نقض حریم خصوصی معمولا منجر به حذف اسکریپت های متخلف می شود.

جلوگیری از نقض امنیت سایبری

با این وجود، تهدیدهای ورود به حریم خصوصی باعث ایجاد نگرانی برای کاربران و مدیران فناوری اطلاعات می شود که از اطلاعات حساس محافظت می کنند. Bleeping Computer به نقل قولی از Lukasz Olejnik، محقق مستقل، اشاره کرد که: صاحبان سایت ممکن است از ردیابی وب و نقض احتمالی مقررات حفاظت کلی اطلاعات (GDPR) مطلع نباشند.
مدیران فناوری اطلاعات باید از این قوانین جدید و خطر نقض امنیت سایبری آگاه شوند. ناشران، کاربران و شرکتهای ارائه کننده مرورگر باید برای جلوگیری از فرایند لو رفتن اطلاعات از طریق تکمیل خودکار اطلاعات در صفحات وب بیشتر کار کنند. ناشران می توانند این کار را از طریق تکمیل فرم های ورود در یک زیر دامنه جداگانه انجام دهند. همچنین کاربران باید برای جلوگیری از ردیابی توسط شخص ثالث، ابزارهای بلاک کننده تبلیغات یا برنامه های حفاظتی را روی مرورگر خود نصب کنند.
سرانجام، محققان پیشنهاد کردند که شرکتهای ارائه کننده مرورگر مجددا باید دسترسی به اطلاعات محرمانه را در فرمهای اتوماتیک بررسی کنند.

این کار می تواند با دادن گزینه ای به کاربران برای از کار انداختن این شیوه، و یا درخواست یک واکنش از کاربر قبل از تکمیل خودکار فرم انجام شود. حداقل، توسعه دهندگان مرورگر باید در مورد چگونگی سوء استفاده اسکریپت های شخص ثالث از فن آوری هایشان جدی تر فکر کنند.