Criteo là một công ty quảng cáo. Có thể bạn chưa nghe nói về chúng, nhưng chúng thực hiện nhắm mục tiêu lại, loại quảng cáo theo đuổi người dùng trên web, cầu xin họ mua một sản phẩm mà họ đã từng xem hoặc đã mua. Để xác định người dùng trên các trang web, Criteo dựa vào theo dõi trên nhiều trang web bằng cách sử dụng cookie và các phương pháp khác để theo dõi người dùng khi họ duyệt qua. Điều này đã khiến họ thử và phá vỡ các tính năng bảo mật trong AppleTrình duyệt Safari của trình duyệt này bảo vệ người dùng khỏi bị theo dõi.
Tất cả các trình duyệt phổ biến đều cung cấp cho người dùng quyền kiểm soát đối với những người được đặt cookie, nhưng Safari là trình duy nhất chặn cookie của bên thứ ba (những cookie được đặt bởi miền khác với trang web bạn đang truy cập) theo mặc định. (Lựa chọn của Safari rất quan trọng vì chỉ 5-10% người dùng từng thay đổi cài đặt mặc định trong phần mềm.) Criteo dựa vào cookie của bên thứ ba. Vì người dùng có rất ít lý do để truy cập trang web riêng của Criteo, công ty lấy cookie của mình vào máy của người dùng thông qua việc tích hợp trên nhiều trang web bán lẻ trực tuyến. Việc chặn cookie của Safari là một vấn đề lớn đối với Criteo, đặc biệt là do tính chất lớn và sinh lợi của cơ sở người dùng iPhone. Thay vì chấp nhận điều này, Criteo đã nhiều lần thực hiện các cách để đánh bại các biện pháp bảo vệ quyền riêng tư của Safari.
Có vẻ như phản hồi của Criteo là từ bỏ cookie cho người dùng Safari và tạo một số nhận dạng liên tục bằng cách dựa trên một công nghệ an toàn người dùng quan trọng được gọi là HSTS. Khi một trình duyệt kết nối với một trang web thông qua HTTPS (tức là một trang web hỗ trợ mã hóa), trang web đó có thể phản hồi bằng chính sách Bảo mật truyền tải nghiêm ngặt HTTP (HSTS), hướng dẫn trình duyệt chỉ liên hệ với nó bằng HTTPS. Nếu không có chính sách HSTS, trình duyệt của bạn có thể cố gắng kết nối với trang web qua HTTP cũ không được mã hóa thông thường trong tương lai — và do đó dễ bị tấn công hạ cấp. Criteo đã sử dụng HSTS để lén đưa dữ liệu vào bộ nhớ cache của trình duyệt để tạo ra một số nhận dạng mà nó có thể sử dụng để nhận dạng trình duyệt của từng cá nhân và lập hồ sơ cho họ. Cách tiếp cận này dựa trên thực tế là rất khó để xóa dữ liệu HSTS trong Safari, yêu cầu người dùng phải xóa hoàn toàn bộ nhớ cache để xóa số nhận dạng. Đối với EFF, điều đặc biệt đáng lo ngại là Criteo đã sử dụng một kỹ thuật giúp bảo vệ quyền riêng tư chống lại các lợi ích bảo mật của người dùng bằng cách nhắm mục tiêu HSTS. Việc sử dụng cơ chế này đã được ghi lại bởi Gotham City Research, một công ty đầu tư đã đặt cược vào cổ phiếu của Criteo.
Vào đầu tháng 12, Apple đã phát hành bản cập nhật cho iOS và Safari, vô hiệu hóa khả năng khai thác HSTS của Criteo. Điều này dẫn đến việc Criteo phải điều chỉnh lại dự báo doanh thu và giá cổ phiếu của họ giảm mạnh.
Nguồn: eff
