Internetgebruikers gevolgd via wachtwoordmanagers

Tegenwoordig beschikken internetbrowsers over eigen tools om wachtwoorden te managen voor gebruikers, zo vragen deze tools of zij je wachtwoord mogen onthouden als je een keer hebt ingelogd op een website. Nu blijkt dat ingebouwde wachtwoordmanagers door middel van webtrackers het internetgedrag van iemand kunnen volgen. Daar hebben onderzoekers voor gewaarschuwd.

Wachtwoordmanager

Als je op een website accepteert dat een ingebouwde wachtwoordmanager van bijvoorbeeld Firefox een wachtwoord onthoud dan woren inloggegevens op deze website een volgende keer automatisch ingevuld in het inlogveld. Nu blijkt dat er op duizenden websites een webtracker rondspookt, die een onzichtbaar inlogveld injecteert waardoor gegevens die worden ingevuld in dit veld worden opgeslagen. Vervolgens wordt het e-mail adres van de gebruiker uitgelezen en een ‘hash’ daarvan wordt naar de server van een derde partij gestuurd.

Omdat e-mailadressen uniek zijn en meestal langer worden gebruikt kunnen gebruikers worden gevolgd over meerdere apparaten. Het verwijderen van cookies heeft weinig effect meer op het volgen. Deze ‘kwetsbaarheid’ zit al langer in browsers en komt door de manier waarop deze met het beveiligingsmodel van het web om gaan.

Stappen

Volgens de onderzoekers kunnen gebruikers en browserontwikkelaars stappen nemen om het automatisch invullen van wachtwoorden in de onzichtbare velden tegen te gaan. Wanneer websites aparte subdomeinen voor het inloggen gebruiker kan het automatisch invullen worden uitgeschakeld. Een gebruiker kan een adblocker gebruiken.