Raymon Mens
Raymon Mens Nieuws 4 januari 2018

Te vrijgevig: Wachtwoordmanagers worden misbruikt voor tracking

Iets dat je bij vrijwel ieder gesprek over veiligheid en privacy op het internet hoort is: “Neem een wachtwoordmanager”. Een prima advies, want apps die je wachtwoorden beheren en voor iedere site een willekeurig wachtwoord maken verhogen je veiligheid. Helaas blijkt dat trackers ook misbruik maken van de aanwezigheid van een wachtwoordmanager.

Autofill is te vrijgevig

Onderzoekers van de Princeton University kwamen een aantal trackers op het spoor die autofill-velden misbruiken om je te volgen op het internet. Wachtwoordmanagers en browsers vullen je gebruikersnaam en wachtwoord vaak al in als een site erom vraagt. De trackers plaatsen onzichtbare velden voor gebruikersnaam en wachtwoord op websites en lezen deze gegevens vervolgens uit. Zo kunnen ze je vaak ondubbelzinnig identificeren.

Trackers zijn niet geïnteresseerd in je inloggegevens, maar willen je wel volgen op internet. Omdat een gebruikersnaam vaak een e-mailadres is dat je op meerdere sites gebruik, is het een koud kunstje om je te volgen. Adblockers helpen niet, want die blokkeren geen inlogvelden.

Safari, Chrome, Firefox en IE kwetsbaar

Alle bekende browsers zijn kwetsbaar voor deze manier van tracking die al door twee advertentiebedrijven gebruikt wordt. Er is weinig dat je kunt doen, behalve het automatisch invullen van wachtwoord uitschakelen in je wachtwoordmanager en browser. Dat vergroot het gebruiksgemak natuurlijk niet en makers van browsers en wachtwoord-apps staan voor een dilemma.

1Password neemt het zekere voor het onzekere en vult sowieso geen wachtwoorden in totdat je op een knop hebt gedrukt. Andere apps en ingebouwde wachtwoordbeheerders van browsers doen dat wel. Je kunt op deze demopagina zelf checken of je browser te vrijgevig is.

Tracker op duizenden sites aanwezig

Het script dat de automatisch ingevulde gebruikersnaam opslaat is op duizenden websites aanwezig. Het is waarschijnlijk onderdeel van een advertentienetwerk en kan ook op andere sites opduiken. De makers van het script zijn de netwerken Adthink en OnAudience. Ze claimen geen prive-informatie op te slaan, maar wij denken daar toch anders over. Deze eigenschappen zijn aanwezig in het tracking-script:

birth date, age, gender, nationality, height, weight, BMI (body mass index), hair_color (black, brown, blond, auburn, chestnut, red, gray, white), eye_color (amber, blue, brown, grey, green), education, occupation, net_income, raw_income, relationship states, seek_for_gender (m, f, transman, transwoman, couple), pets, location (postcode, town, state, country), loan (type, amount, duration, overindebted), insurance (car, motorbike, home, pet, health, life), card_risk (chargeback, fraud_attempt), has_car(make, model, type, registration, model year, fuel type), tobacco, alcohol, travel (from, to, departure, return), car_hire_driver_age, hotel_stars

Als je een adblocker of andere manier hebt om scripts op websites te blokkeren, kun je de domeinnamen ‘audienceinsights.net’ en ‘behavioralengine.com’ op de zwarte lijst zetten. De scripts die wachtwoordmanagers misbruiken kunnen dan niet meer uitgevoerd worden.

Klik/tap voor groter.
Reageer op artikel:
Te vrijgevig: Wachtwoordmanagers worden misbruikt voor tracking
Sluiten