Pelkkä sähköpostiosoitteen antaminen
verkkolomakkeelle voi vuotaa verkkorikollisille tai markkinoijille
sinusta enemmän tietoja kuin arvaatkaan.
Suomalainen sovelluskehittäjä Viljami Kuosmanen paljastaa tekemällään verkkosivulla pelottavan tehokkaasti, miten viattoman näköinen lyhyt verkkolomake vuotaa täyttäjästään tietoja.
Asia on ehtinyt jo saamaan laajaa julkisuutta. Siitä uutisoivat muun muassa brittilehti The Guardian sekä talouslehti Forbes.
Pelkkä
nimen ja sähköpostiosoitteen täyttäminen verkkosivulla olevaan
tekstikenttään voi vuotaa verkkosivun laatijalle muun muassa osoitteesi,
puhelinnumerosi, luottokorttinumerosi sekä myös sen CCV-turvakoodin.
– En
minä tätä löytänyt, tämä on oikeastaan jo pitkään tiedetty
haavoittuvuus, kertoo ohjelmistokehittäjänä Futurice-yhtiössä
työskentelevä Kuosmanen Ilta-Sanomat Digitodaylle .
– Ominaisuus ärsytti itseäni täyttäessäni Chrome-selaimella
verkkokaupan lomaketta, ja selain täytti vääriä kenttiä väärillä
tiedoilla. Siitä tuli mieleen tarkistaa, mitä tietoja Chrome-selain oli
minusta tallentanut.
Lomakkeen täyttäjän tiedot voivat vuotaa
selaimien autofill- eli automaattitäyttötoiminnon takia, joka auttaa
täyttämään esimerkiksi nettilomakkeita nopeammin. Toiminto tallentaa
käyttäjän tietoja tämän täyttäessä verkkolomaketta. Kun käyttäjä
seuraavan kerran alkaa antaa tietojaan verkkolomakkeelle,
autofill-toiminto voi sijoittaa loput lomakkeen tiedot valmiiksi
oikeisiin tekstikenttiin.
Ongelma on, että osan lomakkeen
kyselykentistä voi piilottaa käyttäjän näkyvistä, mutta
autofill-toiminto täyttää ne silti. Kuosmanen esitteli tietojen
vuotamista myös Twitterissä julkaisemallaan lyhyellä animaatiolla.
Kuosmasen mukaan autofill-toimintoa ovat käyttäneet urkinnassa sekä verkkorikolliset että myös melko tunnetutkin yritykset.
– Verkkorikolliset
voivat ohjata käyttäjän esimerkiksi väärennetylle pankkisivulle.
Sivulle on piilotettu lomakekenttiä, jotka kyselevät vaikka
pankkikorttinumeron, vaikka käyttäjä ei sitä itse kirjoittaisi,
Kuosmanen kertoo.
Yritykset taas ovat käyttäneet menetelmää tietojen keräämiseen markkinointitarkoituksessa.
– Sivulla
voidaan pyytää esimerkiksi sähköpostiosoitetta lisätietojen
lähettämistä varten. Sivulle on voitu piilottaa kyselykenttiä, joilla on
saatu selville esimerkiksi myös vastaajan osoite ja puhelinnumero,
Kuosmanen kertoo.
– Näitä on vaikea havaita, mutta muutamissa tapauksissa näistä on jääty kiinni.
Kuosmanen
itse on poistanut käytöstä Chrome-selaimen autofill-toiminnon. Applen
Safari-selain ja Mozillan Firefox ovat hänen mukaansa turvallisempia
käyttäjälle.
– Firefox on paras, sillä se ei täytä tekstikenttiä, joita käyttäjä ei voi itse klikata, Kuosmanen kertoo.
– Safari-selain
taas näyttää käyttäjälle ne tiedot, mitä lomakkeelle ollaan oikeastaan
antamassa. Toki käyttäjä voi helposti vain painaa ok katsomatta, mitä
tietoja siinä itse asiassa lukee.
Chrome-selaimella Kuosmanen
neuvoo poistamaan autofill-profiilit käytöstä. Tämä tapahtuu seuraavalla
tavalla: asetukset > näytä lisäasetukset > salasanat ja lomakkeet
sekä poistamalla täältä ylempi ruksi.
