De onderzoekers melden hoe third party-scripts de identiteit van gebruikers achterhalen. Daarvoor gebruiken deze scripts een onzichtbaar veld dat door beheerders als LastPass automatisch wordt ingevuld om bijvoorbeeld het e-mailadres van gebruikers te achterhalen. Zo kunnen ze zelfs zonder inlog zien met welke unieke gebruiker ze te maken hebben.

Hash gebruikersnaam

Om te zien of je extensie op deze manier te misbruiken is met de huidige configuratie, hebben de onderzoekers van de Amerikaanse universiteit Princeton deze demonstratie opgetuigd. Diverse extensies vullen automatisch de gebruikersnaam in (maar niet het wachtwoord), en het script noteert de hash daarvan.

Hoewel dit in de meeste gevallen onvoldoende is om het exacte mailadres te achterhalen, is het een prima middel om een uniek ID aan de bezoeker te koppelen. Het is al meer dan tien jaar bekend dat zo'n type identificerende aanval mogelijk is, maar het is voor het eerst dat een onderzoek diverse scripts in het wild beschrijft die dit ook daadwerkelijk doen.

Vage scripts

De informaticadeskundigen stellen dat de meeste uitgevers niet eens weten dat dit soort scripts op hun sites draaien, omdat adverteerders en andere partijen expres vaag zijn over wat ze precies uitvoeren. Daarom zouden uitgevers volgens de universiteit inlogformulieren alleen moeten toestaan op een subdomein, zodat de invulfeature niet gebruikt kan worden op gewone pagina's.