[ Zavřít ] 


 

RSS Kanál

 

Seznam se dal na biometrický fingerprinting

Bezpečnostní expert Michal Špaček si všiml nevšední aktivity webu Seznamu při přihlašování do emailu: snímání uživatelova biometrického fingerprintingu, který je pak ukládán společně s ostatními běžně zadávanými údaji do registračního formuláře. K čemu pak Seznam fingerprinting potřebuje a je to vůbec legální?

 

Čmuchám, čmuchám biometrické údaje

Michal Špaček je vývojář webových aplikací soustřeďující se na jejich zabezpečení. Koncem června si všiml neobvyklé aktivity při registraci do emailu Seznamu: „Zajímavé, www.seznam.cz si při registraci v prohlížeči sbírá behaviorální biometrická data, konkrétně stisky kláves a pohyby myši a posílá si je společně s ostatními údaji zadanými do registračního formuláře.“

Snímání otisku se netýká jen prstů, ale i způsobů interakce uživatele s počítačem (Zdroj: Pixabay.com)

To se jinými slovy rovná biometrickému fingerprintingu - tedy identifikaci unikátního vzorce interakce konkrétního uživatele s počítačovými periferiemi (jako je rychlost stisku/sekvencí kláves, či specifické manipulace s myší. Špaček to vysvětluje: „Podle způsobu psaní, podle toho, jak rychle mačkáte klávesy a jaké mezi nimi děláte prodlevy, se dá do určité míry spolehlivě poznat, že ten, kdo píše na klávesnici , jste vy. Používá se to občas jako doplněk k zadávání přihlašovacích údajů, protože když najednou někdo napíše heslo jinak, než ho běžně píšete vy, tak to může znamenat, že vaše heslo má i někdo jiný.“

Výpis komunikace webu Seznamu s prohlížečem uživatele (Zdroj: Michal Špaček)

Právě coby doplněk k zadávání přihlašovacích údajů obhajuje funkcionalitu Seznam: „Slouží jednorázově pro zvýšení bezpečnosti při registraci.“ Při bližším dotazování pak Seznam odpovídá, že se snaží o detekci toho, zda se k účtu místo člověka nesnaží přihlásit automatizovaná aplikace - robot. To Lupě potvrdil i produktový manažer emailu David Finger: „Rychlost úhozů, pohyb myši a podobně, které jsou u každého člověka naprosto unikátní, používáme k tomu, aby se nám na Seznam neregistrovali roboti a nezakládali falešné e-mailové schránky, přes které pak chodí spam.“

X-krát opakované vyplňování CAPTCHA dokáže přihlášení pěkně otrávit

Zakomponování biometrie může české freemailové jedničce pomoci odstínit registrující se roboty, ale také méně otravovat uživatele nutností zadávat CAPTCHA: „O stoprocentní úspěšnosti eliminace robotů se pochopitelně hovořit nedá, ale pomohlo nám to výrazně zredukovat falešné registrace. Teď pro nás představují minoritní problém,“ nastiňuje situaci Finger. „CAPTCHA používáme ve chvíli, kdy už máme nějaké podezření. Nechceme ji zobrazovat všem lidem, protože je to zbytečná překážka, a když k ní není důvod, nechceme jí uživatele otravovat.“

V budoucnu chce Seznam takto sbíraná data využít kromě detekce robotického chování také k ověřování identity například při vydávání zapomenutých hesel. Aktuálně nejsou tato data - dle prohlášení Seznamu - ukládána. Jde pouze o jednorázový příspěvek k vyhodnocování přihlašovací aktivity. Proto ani nespadají do zákonů o ochraně uživatele/spotřebitele. Souhlas uživatele by aktivita vyžadovala, kdyby byla data ukládána trvaleji. To potvrzuje Květa Gebauerová z Úřadu na ochranu osobních údajů: „V obecné rovině lze říci, že pro účely zajištění bezpečnosti je možné po krátkou dobu využít omezenou množinu údajů. Souhlas s využitím údajů by pak byl nutný za předpokladu, že by údaje byly zpracovávány a ukládány po delší dobu a byly propojitelné s konkrétními uživateli. Pokud jsou shromažďovány a dále zpracovávány anonymní či statistické údaje bez možnosti je vztáhnout ke konkrétnímu uživateli, nejedná se o zpracování osobních údajů ve smyslu zákona o ochraně osobních údajů.“

Zdroje: Michal Špaček, Seznam.cz, Lupa.cz

 

 

 

 

 

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj...

Chrome 79: zabezpečení, interoperabilita a výkon

Chrome 79 přináší kvanta změn a nových funkcionalit. Mnohé z nich jsou pečlivě skryté pod pokličkou experimentálních nastavení stabilní větve prohlížeče. Přesto odhalíme, co skrývají. Můžete se těšit na zvýšení...

Vláda to zkouší s digitální daní

Vláda ČR se rozhodla zasáhnout vůči internetovým gigantům, kteří sice generují tržby na území České republiky (a Evropské unie vůbec), avšak zisky daní v zemích, které svou legislativu byly ochotny flexibilně přizpůsobit přítomnosti těchto firem....

Windows 10 budou podporovat DNS-over-HTTPS

Myšlence šifrování překladu domén DNS-over-HTTPS se dostává ohlasu nejen mezi vývojáři browserů, ale nyní i u tvůrců operačních systémů - konkrétně Microsoft. Ten plánuje zavést podporu šifrování DNS protokolem HTTPS, a to...


 
© 2005-2020 PS Media s.r.o. - digital world