Suomalaisen Viljamin paljastus: Näin nettisivut urkkivat luottokorttitietosi ja puhelinnumerosi – ja näin estät sen
Julkaistu:
Pelkkä sähköpostiosoitteen antaminen
verkkolomakkeelle voi vuotaa verkkorikollisille tai markkinoijille
sinusta enemmän tietoja kuin arvaatkaan.
Suomalainen sovelluskehittäjä Viljami Kuosmanen paljastaa tekemällään verkkosivulla pelottavan tehokkaasti, miten viattoman näköinen lyhyt verkkolomake vuotaa täyttäjästään tietoja.
Asia on ehtinyt jo saamaan laajaa julkisuutta. Siitä uutisoivat muun muassa brittilehti The Guardian sekä talouslehti Forbes.
Pelkkä nimen ja sähköpostiosoitteen täyttäminen verkkosivulla olevaan tekstikenttään voi vuotaa verkkosivun laatijalle muun muassa osoitteesi, puhelinnumerosi, luottokorttinumerosi sekä myös sen CCV-turvakoodin.
– En minä tätä löytänyt, tämä on oikeastaan jo pitkään tiedetty haavoittuvuus, kertoo ohjelmistokehittäjänä Futurice-yhtiössä työskentelevä Kuosmanen Ilta-Sanomat Digitodaylle .
– Ominaisuus ärsytti itseäni täyttäessäni Chrome-selaimella verkkokaupan lomaketta, ja selain täytti vääriä kenttiä väärillä tiedoilla. Siitä tuli mieleen tarkistaa, mitä tietoja Chrome-selain oli minusta tallentanut.
Lomakkeen täyttäjän tiedot voivat vuotaa selaimien autofill- eli automaattitäyttötoiminnon takia, joka auttaa täyttämään esimerkiksi nettilomakkeita nopeammin. Toiminto tallentaa käyttäjän tietoja tämän täyttäessä verkkolomaketta. Kun käyttäjä seuraavan kerran alkaa antaa tietojaan verkkolomakkeelle, autofill-toiminto voi sijoittaa loput lomakkeen tiedot valmiiksi oikeisiin tekstikenttiin.
Ongelma on, että osan lomakkeen kyselykentistä voi piilottaa käyttäjän näkyvistä, mutta autofill-toiminto täyttää ne silti. Kuosmanen esitteli tietojen vuotamista myös Twitterissä julkaisemallaan lyhyellä animaatiolla.
Kuosmasen mukaan autofill-toimintoa ovat käyttäneet urkinnassa sekä verkkorikolliset että myös melko tunnetutkin yritykset.
– Verkkorikolliset voivat ohjata käyttäjän esimerkiksi väärennetylle pankkisivulle. Sivulle on piilotettu lomakekenttiä, jotka kyselevät vaikka pankkikorttinumeron, vaikka käyttäjä ei sitä itse kirjoittaisi, Kuosmanen kertoo.
Yritykset taas ovat käyttäneet menetelmää tietojen keräämiseen markkinointitarkoituksessa.
– Sivulla voidaan pyytää esimerkiksi sähköpostiosoitetta lisätietojen lähettämistä varten. Sivulle on voitu piilottaa kyselykenttiä, joilla on saatu selville esimerkiksi myös vastaajan osoite ja puhelinnumero, Kuosmanen kertoo.
– Näitä on vaikea havaita, mutta muutamissa tapauksissa näistä on jääty kiinni.
Kuosmanen itse on poistanut käytöstä Chrome-selaimen autofill-toiminnon. Applen Safari-selain ja Mozillan Firefox ovat hänen mukaansa turvallisempia käyttäjälle.
– Firefox on paras, sillä se ei täytä tekstikenttiä, joita käyttäjä ei voi itse klikata, Kuosmanen kertoo.
– Safari-selain taas näyttää käyttäjälle ne tiedot, mitä lomakkeelle ollaan oikeastaan antamassa. Toki käyttäjä voi helposti vain painaa ok katsomatta, mitä tietoja siinä itse asiassa lukee.
Chrome-selaimella Kuosmanen neuvoo poistamaan autofill-profiilit käytöstä. Tämä tapahtuu seuraavalla tavalla: asetukset > näytä lisäasetukset > salasanat ja lomakkeet sekä poistamalla täältä ylempi ruksi.
Asia on ehtinyt jo saamaan laajaa julkisuutta. Siitä uutisoivat muun muassa brittilehti The Guardian sekä talouslehti Forbes.
Pelkkä nimen ja sähköpostiosoitteen täyttäminen verkkosivulla olevaan tekstikenttään voi vuotaa verkkosivun laatijalle muun muassa osoitteesi, puhelinnumerosi, luottokorttinumerosi sekä myös sen CCV-turvakoodin.
– En minä tätä löytänyt, tämä on oikeastaan jo pitkään tiedetty haavoittuvuus, kertoo ohjelmistokehittäjänä Futurice-yhtiössä työskentelevä Kuosmanen Ilta-Sanomat Digitodaylle .
– Ominaisuus ärsytti itseäni täyttäessäni Chrome-selaimella verkkokaupan lomaketta, ja selain täytti vääriä kenttiä väärillä tiedoilla. Siitä tuli mieleen tarkistaa, mitä tietoja Chrome-selain oli minusta tallentanut.
Lomakkeen täyttäjän tiedot voivat vuotaa selaimien autofill- eli automaattitäyttötoiminnon takia, joka auttaa täyttämään esimerkiksi nettilomakkeita nopeammin. Toiminto tallentaa käyttäjän tietoja tämän täyttäessä verkkolomaketta. Kun käyttäjä seuraavan kerran alkaa antaa tietojaan verkkolomakkeelle, autofill-toiminto voi sijoittaa loput lomakkeen tiedot valmiiksi oikeisiin tekstikenttiin.
Ongelma on, että osan lomakkeen kyselykentistä voi piilottaa käyttäjän näkyvistä, mutta autofill-toiminto täyttää ne silti. Kuosmanen esitteli tietojen vuotamista myös Twitterissä julkaisemallaan lyhyellä animaatiolla.
Kuosmasen mukaan autofill-toimintoa ovat käyttäneet urkinnassa sekä verkkorikolliset että myös melko tunnetutkin yritykset.
– Verkkorikolliset voivat ohjata käyttäjän esimerkiksi väärennetylle pankkisivulle. Sivulle on piilotettu lomakekenttiä, jotka kyselevät vaikka pankkikorttinumeron, vaikka käyttäjä ei sitä itse kirjoittaisi, Kuosmanen kertoo.
Yritykset taas ovat käyttäneet menetelmää tietojen keräämiseen markkinointitarkoituksessa.
– Sivulla voidaan pyytää esimerkiksi sähköpostiosoitetta lisätietojen lähettämistä varten. Sivulle on voitu piilottaa kyselykenttiä, joilla on saatu selville esimerkiksi myös vastaajan osoite ja puhelinnumero, Kuosmanen kertoo.
– Näitä on vaikea havaita, mutta muutamissa tapauksissa näistä on jääty kiinni.
Kuosmanen itse on poistanut käytöstä Chrome-selaimen autofill-toiminnon. Applen Safari-selain ja Mozillan Firefox ovat hänen mukaansa turvallisempia käyttäjälle.
– Firefox on paras, sillä se ei täytä tekstikenttiä, joita käyttäjä ei voi itse klikata, Kuosmanen kertoo.
– Safari-selain taas näyttää käyttäjälle ne tiedot, mitä lomakkeelle ollaan oikeastaan antamassa. Toki käyttäjä voi helposti vain painaa ok katsomatta, mitä tietoja siinä itse asiassa lukee.
Chrome-selaimella Kuosmanen neuvoo poistamaan autofill-profiilit käytöstä. Tämä tapahtuu seuraavalla tavalla: asetukset > näytä lisäasetukset > salasanat ja lomakkeet sekä poistamalla täältä ylempi ruksi.