The Register: Mixpanel признали сбор паролей пользователей сторонних сайтов

• Бытует мнение, что трекеры пригодны лишь для того, чтобы отслеживать перемещение пользователей по сайтам и анализировать сферу их интересов. Но трекеры могут анализировать и ваше поведение на самой странице: находить области, которые привлекают ваше внимание, отслеживать перемещение курсора и данные, которые вы вводите, заполняя анкеты и формы. Когда-то эта идея кому-то показалась приемлемой... А теперь мы узнали, что в результате какой-то ошибки в библиотеке JavaScript аналитический сервис Mixpanel  в течение нескольких месяцев собирал данные о паролях пользователей сторонних сайтов. Перевод заметки в The Register.

Аналитический сервис Mixpanel признал сбор паролей пользователей сторонних сайтов

На въезде на крупные предприятия часто можно заметить специальное табло, отсчитывающее дни без крупных аварий. Если бы интернет был таким предприятием, сегодня нам пришлось бы начать этот отсчёт заново... Дней без происшествий: 0

Аналитический сервис Mixpanel предоставляет сайтам набор инструментов, помогающих "улучшить взаимодействие с пользователями". Среди них был и Autotrack, отслеживающий практически каждое действие посетителя сайта. После публикации на Redddit стало известно, что Autotrack отслеживает и пароли, которые вводят пользователи.

"Один из наших клиентов заметил, что Autotrack записывает изменения в поле пароля. Об этом он сообщил нам 5 января 2018, - говориться в официальном комментарии. - Мы подтверждаем, что такое поведение нетипично для наших инструментов и они не должны отслеживать содержимое скрытых полей и форм".

По заверению разработчика, причиной ошибки стали изменения в библиотеке React JavaScript, внесённые ещё в марте 2017, но третьи лица вряд ли могли получить доступ к полученным таким образом данным.

Стивен Энглехардт, специалист по вопросам из конфиденциальности из Принстонского университета, ещё несколько лет назад предупреждал, что отслеживание пользовательской активности грубо нарушает все принципы приватности. По его мнению, утечка паролей связана со сбоем в неком алгоритме, с помощью которого Maxpanel анализировали степень "чувствительности" данных:

[2/7] Как именно они собирают информацию, которую я ввожу? Насколько я могу судить, Mixpanel собирает все вводимые данные и использует специальные алгоритмы, чтобы "исключить чувствительные данные, такие как пароль или другие скрытые поля".  Как раз сбоем в этом алгоритме и была вызвана утечка пользовательских паролей. 

— Стивен Энглехардт (@S_Englehardt) 5 февраля 2018 г.

Энглехардт добавил, что столь навязчивый сбор пользовательских данных по определению нельзя считать безопасным процессом:

[4/7] Это нельзя считать багом! Это лишь доказательство того, что столь грубый сбор пользовательских данных по определению не может быть безопасным. Не существует алгоритмов, способных со 100% вероятностью отфильтровать все возможные конфиденциальные данные пользователя. 

— Стивен Энглехардт (@S_Englehardt) 5 февраля 2018 г.

Сайтам, которые пользовались услугами Mixpanel, следует как можно быстрее обновить SDK, чтобы полностью исключить сбор паролей своих пользователей сторонней компанией. Представитель Mixpanel пообещал, что в ближайшее время они сделают всё возможное, чтобы исключить даже гипотетический сбор конфиденциальных данных.

Таким образом, компанию уже дважды обвиняли в сборе чувствительных данных. В августе 2016 Mixpanel признали, что их алгоритмы могли отследить пароль пользователя, если тот использовал плагины для автоматического заполнения форм.

Ричард Чиргвин,

The Register
7 февраля 2018 г.

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via Google, Yandex or Bing
The same in English

• All notes in English
• All notes in Russian