Kuidas kõik teavad, et ma olen pimesoolelõikusel käinud?
Google, Yahoo, Bing ja teised "juhtivad veebisaidid" annavad oskuslikele nuhkijatele välja praktiliselt kõik, mida ei tahaks naabrimehele või 15aastastele Rakvere häkkeritele öelda: sissetulekute suurust, kasutatud otsisõnu, tervislikku seisudit jms puudutava info.
Microsoft Researchi ja Indiana ülikooli töögrupi koostöös valminud projekti autorid suutsid sensitiivse info kätte saada man-in-the-middle rünnakute abil, kus sissetungija hakkab kasutajate vahelist või nende ja veebisaitide vahelist suhtlust vahendama. Selgus, et selle vastu ei aita isegi krüpteeringud, mida võimaldavad tänapäevased turvalahendused ja laialt kasutatud protokollid SSL ja WPA/WPA2.
Uurimistöö näitab, et üllatavalt detailsele tundlikule infole saab ligi HTTPSiga kaitstud netiliikluse kaudu või tuntud veebirakenduste kaudu, mida pakuvad näiteks nii Google, Yahoo ja Bing kui maksu-, tervise- ja investeerimisteenuste pakkujad.
Autorid kirjeldavad muuhulgas juhtumit, kus omandasid deduktiivset meetodit kasutades inimese tervist puudutavad andmed, kes sisestas info väga turvalisena tuntud saiti, mis jookseb HTTPS-kanalis. Nad määrasid kasutaja IP-aadressi põhjal tema geograafilise asukoha, analüüsisid edasi-tagasi liikuvaid andmepakette ning kasutasid sisestatud info tuvastamiseks ka saidi pakutavat auto-suggestioni võimalust.
Turvarisk on tõsine, sest rünnakud kasutavad tarkvaraliste teenuste põhiomadusi, mis on viimase kümnendi jooksul moes olnud. Üks lahendus oleks infopaketid kõrvalise info sisse peita, aga see pole alati tõhus ja kasvatab oluliselt netiliikluse ülevalhoidmiseks vajalikke kulutusi.