Webformulieren lekken e-mailadressen en wachtwoorden aan adverteerders
Wanneer internetgebruikers ergens willen inloggen of een online formulier invullen kunnen gegevens als e-mailadressen en wachtwoorden naar adverteerders en andere derde partijen worden gestuurd nog voordat erop de knop verzenden of inloggen is geklikt, zo stellen onderzoekers van de Radboud Universiteit, de KU Leuven en de universiteit van Lausanne (pdf).
Voor het onderzoek werden de 100.000 populairste websites op internet onderzocht. E-mailadressen van Europese gebruikers werden bij ruim achttienhonderd websites naar tracking-, marketing- en analyticsdomeinen doorgestuurd nog voordat gebruikers toestemming hadden gegeven of op versturen hadden geklikt. Werden dezelfde websites vanaf een Amerikaans ip-adres bezocht, dan ging het om bijna drieduizend websites.
Verder bleek dat op meer dan vijftig websites third-party session replay scripts actief waren die het wachtwoord van gebruikers verzamelden. Deze scripts verzamelen de interactie van gebruikers met de website, waaronder toetsaanslagen en muisbewegingen. De onderzoekers rapporteerden dit. Vervolgens hebben twee third-party trackers, die samen actief zijn op vijf miljoen websites, updates uitgebracht om het probleem te verhelpen.
Meta en TikTok
In een vervolgonderzoek zagen de onderzoekers dat Meta en TikTok gehashte persoonlijke informatie van webformulieren verzamelen, zelfs wanneer de gebruiker het formulier niet verstuurt en geen toestemming geeft. De onderzoekers waarschuwden beide bedrijven. Meta kwam snel met een reactie waarin het aangaf dat het probleem was doorgezet naar een engineeringteam. TikTok heeft volgens de onderzoekers nog geen reactie gegeven, maar werd ook later ingelicht.
"Gebaseerd op ons onderzoek moeten gebruikers ervan uitgaan dat de persoonlijke informatie die ze in webformulieren invullen door trackers kunnen worden verzameld, ook wanneer het formulier nooit wordt verstuurd. Gezien de omvang, inbreuk en onbedoelde neveneffecten, verdient het privacyprobleem dat we onderzochten meer aandacht van browserleveranciers, ontwikkelaars van privacytools en privacytoezichthouders", zo concluderen de onderzoekers.
Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector. Daarmee kunnen websites en eindgebruikers derde partijen controleren die zonder hun toestemming of medeweten persoonlijke informatie uit webformulieren verzamelen.
Is nog in POC dus geen productie tool
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.
Zou graag willen vragen aan Google zelf of dit waar is. Dat gaat alleen niet; dan is de kans aannemelijk dat het waar is.
Klopt, dat is verkeerd overgenomen door security.nl
Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.
Zou graag willen vragen aan Google zelf of dit waar is. Dat gaat alleen niet; dan is de kans aannemelijk dat het waar is.
https://nos.nl/artikel/2428358-adverteerders-kijken-mee-als-je-online-je-e-mailadres-invult
Bruna zegt dat het geen e-mailadressen doorstuurt; de Vogelbescherming was niet bereikbaar voor commentaar.
Ik moet de dag nog meemaken dat ik een advertentie zie die aansluit bij mijn “belevingswereld”.
En als de adverteerders zouden weten wat mijn belevingswereld is, adverteren ze niet met hun unieke propositie.
Misschien wordt het tijd dat zij zich eens gaan afvragen of ze eigenlijk niet worden bedonderd en een poot worden uitgedraaid door die tracking bedrijven.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.
Zou graag willen vragen aan Google zelf of dit waar is. Dat gaat alleen niet; dan is de kans aannemelijk dat het waar is.
https://www.transip.nl/knowledgebase/artikel/3005-de-captcha-op-de-transip-website/
Klopt, dat is verkeerd overgenomen door security.nl
Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector.
https://github.com/asumansenol/leak-inspector
https://github.com/asumansenol/leak-inspector/issues/1
In the meantime, it's possible to install LeakInspector by cloning
the https://github.com/asumansenol/leak-inspector repo, and following one of these instructions, depending on your browser:
https://developer.chrome.com/docs/extensions/mv3/getstarted/#unpacked
https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/Your_first_WebExtension#trying_it_out
We didn't want to publish these instructions on our webpage to avoid normalizing installing add-ons from websites--which can be a security risk.
En bedrijven/instellingen waar je hierbij je beklag over doet en vraagt jouw data bij Google te laten verwijderen snappen het niet en een reactie op mijn verwijderingsverzoek krijg ik ook nooit.
Ook als je op je eigen werk het initiatief neemt om dit soort problemen aan de kaak te stellen door je collega's te wijzen op dit soort privacyschendende constructies dan vinden ze je een zeurkous. De kleine groep mensen die dit soort problemen scherp zien zijn in de minderheid. Het woord 'privacywappie' heb ik ook weleens horen vallen. Die mensen die jouw klacht ontvangen vinden je een zeikerd.
Als je dit wilt voorkomen moet je canvas en WebRTC blokkeren. Sowieso is canvas iets wat je niet standaard aan moet hebben staan.
vraagt. Dat is de bedoeling ook denk ik. Men doet dit soort acties alleen op sites waar men kwaadwillenden wil
weren en op zich is dat wel goed.
vraagt. Dat is de bedoeling ook denk ik. Men doet dit soort acties alleen op sites waar men kwaadwillenden wil
weren en op zich is dat wel goed.
Als ze niet WebRTC gebruiken wat altijd expliciet toegestaan moet worden, kunnen ze via de html2canvas enkel een snapshot van huidige pagina maken.
WebRTC kan je uitzetten in Firefox met:
user_pref("media.peerconnection.enabled", false);
Voor canvas zal je scripts moeten uitzetten of wellicht een addon moeten zoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.