Unele dintre primele 100.000 de site-uri web colectează tot ce tastați, înainte de a apăsa pe Trimitere

Când vă înscrieți pentru un buletin informativ, faceți o rezervare la un hotel sau verificați online, probabil țineți de la sine înțeles că dacă introduceți greșit adresa de e-mail de trei ori sau vă răzgândiți și X din pagină, nu contează. Nu se întâmplă nimic până când nu apeși butonul Trimite, nu? Ei bine, poate nu. Ca și în cazul multor ipoteze despre web, acest lucru nu este întotdeauna cazul, potrivit noi cercetări: Un număr surprinzător de site-uri web colectează unele sau toate datele dvs. pe măsură ce le introduceți într-un formular digital.

Cercetătorii de la KU Leuven, Universitatea Radboud și Universitatea din Lausanne au accesat cu crawlere și au analizat primele 100.000 de site-uri web, analizând scenarii în care un utilizator vizitează un site în timp ce se află în Uniunea Europeană și vizitează un site din Statele Unite. Ei au descoperit că 1.844 de site-uri web au adunat adresa de e-mail a unui utilizator din UE fără consimțământul acestora, iar 2.950 au înregistrat e-mailul unui utilizator din SUA într-o formă oarecare. Multe dintre site-uri se pare că nu intenționează să efectueze înregistrarea datelor, dar încorporează servicii de marketing și analiză terță parte care cauzează comportamentul.

După ce au accesat cu crawlere site-uri pentru scurgeri de parole în mai 2021, cercetătorii au găsit, de asemenea, 52 de site-uri web în care terți, inclusiv gigantul tehnologic rus Yandex, colectau întâmplător date despre parole înainte de a le trimite. Grupul și-a dezvăluit constatările acestor site-uri, iar toate cele 52 de cazuri au fost rezolvate de atunci.

„Dacă există un buton Trimitere pe un formular, așteptarea rezonabilă este că va face ceva – că va trimite datele tale când dai clic pe el”, spune Güneș Acar, profesor și cercetător la grupul de securitate digitală al Universității Radboud și unul dintre lideri. a studiului. „Am fost foarte surprinși de aceste rezultate. Ne-am gândit că vom găsi câteva sute de site-uri web pe care e-mailurile dvs. sunt colectate înainte de a trimite, dar acest lucru a depășit cu mult așteptările noastre.”

Cercetătorii, care vor prezent descoperirile lor de la conferința de securitate de la Usenix din august, spun că au fost inspirați să investigheze ceea ce ei numesc „forme cu scurgeri” din rapoartele presei, în special din Gizmodo, despre terți care colectează date din formular, indiferent de starea trimiterii. Ei subliniază că, în esență, comportamentul este similar cu așa-numitele keylogger, care sunt de obicei programe rău intenționate care înregistrează tot ce scrie o țintă. Dar pe un site de top 1.000, utilizatorii probabil nu se vor aștepta să aibă informațiile înregistrate. Și în practică, cercetătorii au văzut câteva variații ale comportamentului. Unele site-uri au înregistrat date apăsare după apăsare, dar multe au preluat trimiteri complete dintr-un câmp atunci când utilizatorii au făcut clic pe următorul.

„În unele cazuri, când faceți clic pe câmpul următor, ei îl colectează pe cel anterior, cum ar fi dați clic pe câmpul pentru parolă și ei colectează e-mailul, sau faceți clic oriunde și colectează toate informațiile imediat”, spune Asuman Senol, un agent de confidențialitate. și cercetător de identitate la KU Leuven și unul dintre co-autorii studiului. „Nu ne așteptam să găsim mii de site-uri web; iar în SUA, cifrele sunt foarte mari, ceea ce este interesant.”

Cercetătorii spun că diferențele regionale pot fi legate de faptul că companiile sunt mai precaute cu privire la urmărirea utilizatorilor și chiar se pot integra cu mai puține părți terțe, din cauza Regulamentului general al UE privind protecția datelor. Dar ei subliniază că aceasta este doar o posibilitate, iar studiul nu a examinat explicațiile disparității.

Printr-un efort substanțial de a notifica site-urile web și terții care colectează date în acest fel, cercetătorii au descoperit că o explicație pentru unele dintre colectarea neașteptată a datelor poate avea de-a face cu provocarea de a diferenția o acțiune de „trimitere” de alte acțiuni ale utilizatorului pe anumite site-uri web. pagini. Dar cercetătorii subliniază că, din perspectiva confidențialității, aceasta nu este o justificare adecvată.

De la finalizarea hârtie, grupul a avut, de asemenea, o descoperire despre Meta Pixel și TikTok Pixel, instrumente de urmărire invizibile de marketing pe care serviciile le încorporează pe site-urile lor web pentru a urmări utilizatorii pe web și a le arăta reclame. Ambii au susținut în documentația lor că clienții ar putea activa „potrivirea automată avansată”, care ar declanșa colectarea datelor atunci când un utilizator trimite un formular. În practică, totuși, cercetătorii au descoperit că acești pixeli de urmărire capturau adrese de e-mail cu hashing, o versiune ascunsă a adreselor de e-mail folosită pentru a identifica utilizatorii web pe platforme, înainte de trimitere. Pentru utilizatorii din SUA, este posibil ca 8.438 de site-uri să fi difuzat date către Meta, compania-mamă a Facebook, prin pixeli, iar 7.379 de site-uri ar putea fi afectate pentru utilizatorii din UE. Pentru TikTok Pixel, grupul a găsit 154 de site-uri pentru utilizatorii din SUA și 147 pentru utilizatorii din UE.

Cercetătorii au depus un raport de eroare la Meta pe 25 martie, iar compania a desemnat rapid un inginer pentru caz, dar grupul nu a mai auzit o actualizare de atunci. Cercetătorii au notificat TikTok pe 21 aprilie – au descoperit comportamentul TikTok mai recent – ​​și nu au primit răspuns. Meta și TikTok nu au returnat imediat cererea WIRED de a comenta aceste constatări.

„Riscurile de confidențialitate pentru utilizatori sunt că aceștia vor fi urmăriți și mai eficient; ele pot fi urmărite pe diferite site-uri web, pe diferite sesiuni, pe dispozitive mobile și desktop”, spune Acar. „O adresă de e-mail este un identificator atât de util pentru urmărire, deoarece este globală, este unică, este constantă. Nu îl puteți șterge așa cum vă ștergeți cookie-urile. Este un identificator foarte puternic.”

Acar subliniază, de asemenea, că, pe măsură ce companiile tehnologice caută să elimine treptat urmărirea bazată pe cookie-uri într-un semn de cap la preocupările legate de confidențialitate, agenții de marketing și alți analiști se vor baza din ce în ce mai mult pe ID-uri statice, cum ar fi numerele de telefon și adresele de e-mail.

Deoarece descoperirile indică faptul că ștergerea datelor dintr-un formular înainte de a le trimite ar putea să nu fie suficientă pentru a vă proteja de toată colectarea, cercetătorii au creat un extensia Firefox numit LeakInspector pentru a detecta colecția de formulare necinstite. Și spun că speră că descoperirile lor vor crește gradul de conștientizare cu privire la această problemă, nu numai pentru utilizatorii web obișnuiți, ci și pentru dezvoltatorii de site-uri web și administratorii care pot verifica în mod proactiv dacă propriile sisteme sau oricare dintre terții pe care îi folosesc colectează date din formulare fără consimţământ.

Formularele care nu au scurgeri sunt doar un alt tip de colectare de date de care trebuie să fiți atenți într-un domeniu online deja extrem de aglomerat.

Această poveste a apărut inițial pe wired.com.

Leave a Comment