Datenleck: Werbefirmen nutzen Login-Manager zur Extraktion von E-Mail-Adressen

04.01.2018 17:14 Uhr Gamestar

Wie eine neue Studie zeigt, sind ebenfalls Login-Manager nicht weiterhin sicher vor Datenklau. Werbefirmen nutzen sie um E-Mail-Adressen und Passwörter von Nutzern zu extrahieren. Das Eingeben einer E-Mail-Adresse und eines Passworts ist im Internet zur Gewohnheit geworden um auf verschiedene Accounts zuzugreifen. Doch diese Methode birgt auch Gefahren – da Werbefirmen und andere Dritte Zugang zu sensiblen Daten erhalten können.

So können wir uns beim nächsten Besuch auf Knopfdruck einloggen.

Wirklich sicher ist die ganze Sache aber offenbar nicht: Denn wie Heise berichtet, haben Forscher der Princeton Universität herausgefunden, dass einige Werbefirmen offenbar Tracking-Skripte nutzen um die im Login-Manager gespeicherten E-Mail-Adressen auszulesen – allerdings nicht im Klartext, allerdings in Form eines MD5-Hashwerts.

Autofill führt zu Datenklau

Das Auslesen funktioniert laut Aussage der Forscher folgendermaßen: Der Nutzer gibt seine Daten zum Login auf einer beliebigen Webseite ein und klickt dann im entsprechenden Browser-Fenster auf Speichern, zu diesem Zweck der Login-Manager sich die Daten merkt. Besucht der Nutzer anschließend Inhalte derselben Webseite ohne Login-Eingabe-Fenster, erzeugt das jetzt vorhandene Tracking-Skript ein für den Nutzer unsichtbares Login-Formular.

Wenn der Login-Manager die Nutzerdaten per Autofill-Funktion in das Formular eingibt, speichert das Skript den Hashwert der E-Mail-Adresse. Die Funktionsweise lässt sich auf einer Demo-Webseite der Forscher nachvollziehen.

Dabei geht es laut den Forschern und dem Bericht von Heise nicht darum die Login-Daten zu erhalten oder die E-Mail-Adressen zu Spam-Zwecken zu missbrauchen, sondern um eine versteckte Form des Trackings die Cookies unnötig macht.

Phishing-Versuche mit ähnlichen Methoden gab es bereits in der Vergangenheit, ebenso wie etwa die im Januar 2017 vom finnischen Webentwickler Viljami Kuosmanen aufgedeckten Fälle. Ähnlich wie hier empfehlen die Forscher auch in Bezug auf das Tracking-Skript die Deaktivierung von Autofill im Browser um dem Vorgehen einen Riegel vorzuschieben.

Zuletzt aktualisiert am 07.04.2023 05:14 Uhr

Kommentare

Ähnliche News

Datenklau bei Twitter: 5,5 Millionen Nutzerdaten zum Verkauf

Twitter: 5,5 Mio User-Daten stehen für 30.000 USD zum Verkauf

Auf dem Hacking-Forum Breach Forums wird derzeit eine Datenbank mit den Telefonnummern und E-Mail-Adressen von 5⸴5 Millionen Twitter-Nutzern für einen Preis von 30․000 US-Dollar angeboten.

Leaky Forms: Wie Webseiten unsere Daten ausspionieren

Leaky Forms: wie Webseiten eure Daten klauen

Cookies sind out, E-Mail-Adressen sind in. Immer weiterhin Webseiten nutzen sogenannte "Leaky Forms" um die Daten der Nutzer zu klauen.

Twitter gibt versehentlich private Daten frei

Twitter gibt versehentlich Daten für Werbezwecke frei

Twitter hat aus Versehen Telefonnummern und E-Mail-Adressen von Nutzern für Werbezwecke freigegeben. Obwohl die Daten aus Sicherheitsgründen bei Twitter hinterlegt wurden, wurden sie für gezielte Werbung verwendet.

Facebook nutzt 2FA-Nummern für personalisierte Werbung statt Sicherheit

Statt Sicherheit, Werbung? - Facebook nutzt 2FA-Handynummern für personalisierte Werbung

Es wurde kürzlich aufgedeckt, dass Facebook die Telefonnummern die Nutzer für die Zwei-Faktor-Autorisierung (2FA) angeben, für personalisierte Werbung verwendet. Diese Praktik kommt überraschend – da die Nutzer ihre Nummern ursprünglich aus Sicherheitsgründen eingegeben haben.

Coinsio.com: Geleakte Datenbank enthüllt zahlreiche sensible Daten der Kunden

Coinsio.com ? Datenbank der Krypto-Handelsplattform aufgetaucht

Ein neuer Datenbank-Leak ist heute beim Telegram-Kanal "Leaked Database" aufgetaucht. Dieses Mal geht es um die Krypto-Handelsplattform Coinsio.com und ihre komplette Datenbank mit sensiblen Kundendaten.