Te vrijgevig: Wachtwoordmanagers worden misbruikt voor tracking

Door: Raymon Mens - 22 reacties

Iets dat je bij vrijwel ieder gesprek over veiligheid en privacy op het internet hoort is: “Neem een wachtwoordmanager”. Een prima advies, want apps die je wachtwoorden beheren en voor iedere site een willekeurig wachtwoord maken verhogen je veiligheid. Helaas blijkt dat trackers ook misbruik maken van de aanwezigheid van een wachtwoordmanager.

Autofill is te vrijgevig

Onderzoekers van de Princeton University kwamen een aantal trackers op het spoor die autofill-velden misbruiken om je te volgen op het internet. Wachtwoordmanagers en browsers vullen je gebruikersnaam en wachtwoord vaak al in als een site erom vraagt. De trackers plaatsen onzichtbare velden voor gebruikersnaam en wachtwoord op websites en lezen deze gegevens vervolgens uit. Zo kunnen ze je vaak ondubbelzinnig identificeren.

Trackers zijn niet geïnteresseerd in je inloggegevens, maar willen je wel volgen op internet. Omdat een gebruikersnaam vaak een e-mailadres is dat je op meerdere sites gebruik, is het een koud kunstje om je te volgen. Adblockers helpen niet, want die blokkeren geen inlogvelden.

Safari, Chrome, Firefox en IE kwetsbaar

Alle bekende browsers zijn kwetsbaar voor deze manier van tracking die al door twee advertentiebedrijven gebruikt wordt. Er is weinig dat je kunt doen, behalve het automatisch invullen van wachtwoord uitschakelen in je wachtwoordmanager en browser. Dat vergroot het gebruiksgemak natuurlijk niet en makers van browsers en wachtwoord-apps staan voor een dilemma.

1Password neemt het zekere voor het onzekere en vult sowieso geen wachtwoorden in totdat je op een knop hebt gedrukt. Andere apps en ingebouwde wachtwoordbeheerders van browsers doen dat wel. Je kunt op deze demopagina zelf checken of je browser te vrijgevig is.

Tracker op duizenden sites aanwezig

Het script dat de automatisch ingevulde gebruikersnaam opslaat is op duizenden websites aanwezig. Het is waarschijnlijk onderdeel van een advertentienetwerk en kan ook op andere sites opduiken. De makers van het script zijn de netwerken Adthink en OnAudience. Ze claimen geen prive-informatie op te slaan, maar wij denken daar toch anders over. Deze eigenschappen zijn aanwezig in het tracking-script:

birth date, age, gender, nationality, height, weight, BMI (body mass index), hair_color (black, brown, blond, auburn, chestnut, red, gray, white), eye_color (amber, blue, brown, grey, green), education, occupation, net_income, raw_income, relationship states, seek_for_gender (m, f, transman, transwoman, couple), pets, location (postcode, town, state, country), loan (type, amount, duration, overindebted), insurance (car, motorbike, home, pet, health, life), card_risk (chargeback, fraud_attempt), has_car(make, model, type, registration, model year, fuel type), tobacco, alcohol, travel (from, to, departure, return), car_hire_driver_age, hotel_stars

Als je een adblocker of andere manier hebt om scripts op websites te blokkeren, kun je de domeinnamen ‘audienceinsights.net’ en ‘behavioralengine.com’ op de zwarte lijst zetten. De scripts die wachtwoordmanagers misbruiken kunnen dan niet meer uitgevoerd worden.

table
Klik/tap voor groter.

Reacties

22 reacties
  • Profielfoto
    Frans

    De titel suggerreert een groter probleem dan er is. Het betreft alleen browser ‘wachtwoordmanagers’ of eigenlijk de ‘autofill’ feature van webbrowser. De feature om wachtwoorden op te slaan en automatisch in te vullen uitzetten lost dit probleem op. Misschien minder gemakkelijk, maar wel veel veiliger.

  • Profielfoto
    Raymon Mens

    Dat staat ook letterlijk in het artikel:

    Er is weinig dat je kunt doen, behalve het automatisch invullen van wachtwoord uitschakelen in je wachtwoordmanager en browser.

  • Profielfoto
    floris4970

    Ik vind het een beetje laag om het logo van 1Password te gebruiken terwijl dat juist de wel veilige keuze is..

  • Profielfoto
    Raymon Mens

    Terecht. Ik had de uitgelichte afbeelding gekozen voordat ik me in de details had verdiept. Nu aangepast naar iets neutralers.

  • Profielfoto
    DBLCreations

    Verdorie, ik gebruik 1Password, vindt het toch nog altijd wel een veilige keuze!

  • Profielfoto
    Joid

    Ooit was ik een enthousiast 1Password gebruiker. Totdat ik realiseerde dat Keychain Access nagenoeg hetzelfde doet, voor gratis. Doei 1Password.

  • Profielfoto
    ndunsbergen

    …1Password te gebruiken terwijl dat juist de wel veilige keuze is..

    Dit.
    Daarom heb ik de keuze gemaakt voor 1Password. Die vult pas het wachtwoord in wanneer ik de sneltoets heb ingedrukt en het hoofdwachtwoord heb ingevuld:)

  • Profielfoto
    iMac Lover

    Ik gebruik de addon chostery in Opera.
    Helpt deze plug-in om dit soort tracking te voor komen

    Gr

  • Profielfoto
    Neowip

    Belachelijk en schandalig om daar 1Password logo bij te zetten want dat is nou juist een van de password managers waar dit niet bij werkt. FF’ing clickbait…absurd

  • Profielfoto
    MacAanZee

    Zoiets kan je natuurlijk van een grote afstand zien aankomen. Ik sla nooit in een app of sleutelhanger mijn wachtwoorden op. Ik schrijf ze op in code die alleen ik begrijp, op een notitie in mijn iPhone die ik met een code (of Touch ID) afsluit. Ook dat zal nooit 100% veilig zijn, maar ik heb het tenminste zelf onder controle.

  • Profielfoto
    steveb

    Dat staat ook letterlijk in het artikel:

    Er is weinig dat je kunt doen, behalve het automatisch invullen van wachtwoord uitschakelen in je wachtwoordmanager en browser.

    Klinkt als een schreeuw om face id en Touch id in alle iOS mac toestellen te zetten.

  • Profielfoto
    Elduderino

    Hoe kan een website mij nog met droge ogen vragen om wel advertenties door te laten, terwijl deze advertentie netwerken inmiddels het grootste gespuis op het internet zijn, met een middelvinger naar elke vorm van privacy
    Het is toch van de zotte dat zelfs de developpers van browsers de raarste fratsen uit moeten gaan halen, om op enige vorm onze privacy een beetje te waarborgen. En toch probeert men elke keer manieren te vinden om zoveel mogelijk over de gebruiker binnen te harken. Boeven dat zijn het, gemiddelde malware is er niks bij.

    AdGuard doet gelukkig zijn job.

  • Profielfoto
    Shmoo

    Als je een adblocker of andere manier hebt om scripts op websites te blokkeren, kun je de domeinnamen ‘audienceinsights.net’ en ‘behavioralengine.com’ op de zwarte lijst zetten.

    .
    Niet dat ik het nodig had maar toch handig zo’n tip.

    Even toevoegen aan 1Blocker en het domein is geblokkeerd. Best handig als extra zekerheidje.

  • Profielfoto
    Gitte65

    Als je een adblocker of andere manier hebt om scripts op websites te blokkeren, kun je de domeinnamen ‘audienceinsights.net’ en ‘behavioralengine.com’ op de zwarte lijst zetten.

    .
    Niet dat ik het nodig had maar toch handig zo’n tip.

    Even toevoegen aan 1Blocker en het domein is geblokkeerd. Best handig als extra zekerheidje.

    Shmoo, of iemand anders, kun je uitleggen hoe je dat voor elkaar hebt gekregen. In AdBlockPlus lijkt het niet te werken….
    Ik heb het script adres uit het artikel gebruikt, maar de pagina’s openen gewoon.

  • Profielfoto
    Shmoo

    Ik gebruik geen AdBlockPlus maar mogelijk dat het op een vergelijkbare manier werkt.

    Bij mij heb ik dit toegevoegd.

     
    https://audienceinsights\.net
    http://behavioralengine\.com
     

  • Profielfoto
    DBLCreations

    Ooit was ik een enthousiast 1Password gebruiker. Totdat ik realiseerde dat Keychain Access nagenoeg hetzelfde doet, voor gratis. Doei 1Password.

    ? Ik heb 1Password aangeschaft (éénmalige koop) en dan is het nadien toch ook “voor” gratis?

  • Profielfoto
    Elduderino

    Ooit was ik een enthousiast 1Password gebruiker. Totdat ik realiseerde dat Keychain Access nagenoeg hetzelfde doet, voor gratis. Doei 1Password.

    Het is maar net wat je verwacht van een password manager. Met Keychain lever je heel veel functionaliteit in t.o.v. 1Password.
    Daarbij is 1Password ook ideaal voor opslaan van andere data (software licenties etc) Keychain vindt ik altijd zo’n onbeheersbare vergaarbak.

    Maar zoals gezegd, het is maar net wat je van functionaliteit je verwacht.

  • Profielfoto
    Ree

    Totdat ik realiseerde dat Keychain Access nagenoeg hetzelfde doet,…

    Sorry, dat is niet juist.

    De functies die je met de keychain kunt doen zijn slechts 5% van wat 1Password kan doen.
    En dan nog niet gesproken over de multi-device/multi-platform synchronisatie mogelijkheden.

  • Profielfoto
    Gitte65

    Ik gebruik geen AdBlockPlus maar mogelijk dat het op een vergelijkbare manier werkt.

    Bij mij heb ik dit toegevoegd.

     
    https://audienceinsights\.net
    http://behavioralengine\.com
     

    Bedankt voor de moeite Shmoo! Dat werkt bij AdBlockPlus helaas niet. Ik ga eens naar 1Blocker kijken.

  • Profielfoto
    Bonte

    Je kunt altijd gevolgd worden omdat ze gewoon kijken naar je combinatie plugins en dergelijke wat je voor 99,9% herkenbaar maakt.

    Dat autofill automatisch je e-mail doorgeeft is natuurlijk weeral een stapje verder.

  • Profielfoto
    Domtoren

    Little Snitch is ook handig voor het blokkeren op domeinnaam.