Alle moderne browsers zijn voorzien van een wachtwoordmanager. Deze functionaliteit wordt echter op meer dan duizend websites misbruikt door webtrackers. Dit blijkt uit onderzoek van medewerkers van Freedom to Tinker.
Wanneer een gebruiker de eerste maal inlogt op een website, vraagt de wachtwoordmanager of deze gegevens bewaard moeten worden. Bij een volgend bezoek zal deze manager vanzelf de inlognaam en het wachtwoord invoeren.
E-mailadres
De webtracker voorziet de website van een onzichtbaar inlogveld. Het script van deze tracker verzendt een hash naar de server van de derde partij, die dit script heeft aangemaakt. Voor kwaadwillenden is het handig om gebruikers te volgen via hun e-mailadres. Mensen gebruiken hun e-mailadres immers vaak gedurende langere tijd en op meerdere apparaten. Cybercriminelen kunnen een persoon volgen op verschillende apparaten die hij gebruikt. Dit kan zelfs wanneer een gebruiker cookies verwijdert of van private browsing gebruikmaakt.
Bescherming
Volgens Gunes Acar, Steven Englehardt en Arvind Narayanan van Freedom to Tinker kunnen uitgevers, gebruikers en browserontwikkelaars verhinderen dat wachtwoorden automatisch worden ingevuld op onzichtbare inlogvelden. Door aparte subdomeinen voor het inloggen te gebruiken, wordt het wachtwoord niet meer automatisch ingevoerd op andere pagina’s. Gebruikers doen er goed aan om adblockers of extensies tegen webtrackers te installeren, aldus de onderzoekers.