據外媒 12 月 27 日報道，普林斯頓信息技術政策中心（ CTTP ）發(fā)現了利用瀏覽器“自動填充”漏洞竊取用戶信息的最新玩法。目前，所有瀏覽器的登錄管理器都存在著一種設計缺陷 ——登錄管理器允許瀏覽器記住用戶在每個特定網站上的用戶名和密碼，并在用戶再次訪問該網站時自動將其插入到登錄表單。正是因為登錄管理器的這種工作方式，網絡追蹤者可以在加載追蹤腳本的網站上嵌入隱藏的登錄表單，以便竊取用戶信息。

  普林斯頓隱私專家警告說，廣告和分析公司利用登錄管理器的漏洞設置隱藏的登錄字段秘密提取網站用戶名，并綁定未經身份驗證的用戶的個人資料或電子郵件訪問該網站。 安全隱私專家稱這種漏洞已存在十多年，僅在 XSS（跨站點腳本）攻擊期間搜集用戶信息。不過目前惡意人士已設計了新的攻擊方式。

  據悉，普林斯頓研究人員于近期發(fā)現了兩種利用隱藏登錄表單收集登錄信息的網絡跟蹤服務：Adthink (audienceinsights.net) 、 OnAudience (behavioralengine.com)。這兩種跟蹤服務利用其腳本搜集了在 Alexa Top 100 萬網站列表中發(fā)現的 1110 個網站的登錄信息。目前登錄信息只包含了用戶名或電子郵件地址 ，并沒有涉及到重要的密碼信息。

  鑒于這種情況，廣告公司和分析公司通過竊取的用戶名/電子郵件創(chuàng)建一個散列，并將該散列與網站訪問者的現有廣告配置文件綁定。研究人員介紹，電子郵件地址的散列是一個良好的跟蹤標識符。因為電子郵件地址是唯一的、持久的，并且用戶的電子郵件地址幾乎不會改變，清除

  cookie、使用隱私瀏覽模式、或者切換設備都不會阻止跟蹤。網絡追蹤者可以通過電子郵件地址的散列來連接分散在不同瀏覽器、設備和移動應用程序上的在線配置文件。此外，該散列還可以作為 cookie 清除之前和之后瀏覽歷史記錄配置文件之間的鏈接。

  知情人士透露，除了 Brave 瀏覽器之外，其他主流瀏覽器似乎都容易受到這種類型的攻擊，例如基于 Chromium 的瀏覽器在用戶點擊頁面時披露用戶密碼。研究人員目前已提出解決方法：廠商將瀏覽器設置為僅在用戶與實際需要登錄的字段交互時再自動填充即可。

  根據普林斯頓的說法，秘密收集用戶數據不僅限于侵犯了個人用戶的隱私，實際上可能也違反了歐盟即將實行的 GDPR 法規(guī)，即使有些網站所有者并不清楚其行為屬于跟蹤范疇。