Деякі 100 000 найкращих веб-сайтів збирають все, що ви вводите, перш ніж натиснути кнопку “Надіслати”.

Деякі 100 000 найкращих веб-сайтів збирають все, що ви вводите, перш ніж натиснути кнопку “Надіслати”.

Коли ви підписуєтеся на інформаційний бюлетень, робите бронювання в готелі або виписуєтеся в Інтернеті, ви, напевно, сприймаєте як належне, що якщо ви тричі помилково введете адресу електронної пошти або передумаєте і зійшли зі сторінки, це не має значення. Насправді нічого не відбувається, доки ви не натиснете кнопку «Надіслати», чи не так? Ну, можливо, ні. Згідно з новими дослідженнями, як і багато інших припущень про Інтернет, це не завжди так: дивовижна кількість веб-сайтів збирає деякі або всі ваші дані, коли ви вводите їх у цифрову форму.

Дослідники з KU Leuven, Radboud University та University of Lausanne просканували та проаналізували 100 000 найкращих веб-сайтів, розглядаючи сценарії, за яких користувач відвідує сайт, перебуваючи в Європейському Союзі та відвідуючи сайт зі Сполучених Штатів. Вони виявили, що 1844 веб-сайти зібрали електронну адресу користувача з ЄС без їхньої згоди, а приголомшливі 2950 зареєстрували електронну пошту користувача з США в тій чи іншій формі. Багато сайтів, здавалося б, не мають наміру проводити реєстрацію даних, але включають сторонні маркетингові та аналітичні служби, які викликають таку поведінку.

Після спеціального сканування сайтів на предмет витоку паролів у травні 2021 року дослідники також знайшли 52 веб-сайти, на яких треті сторони, включаючи російський технологічний гігант Яндекс, випадково збирали дані паролів перед поданням. Група повідомила про свої висновки цим сайтам, і всі 52 випадки з тих пір були розкриті.

«Якщо на формі є кнопка «Надіслати», можна очікувати, що вона щось зробить — що вона надішле ваші дані, коли ви її натиснете», — каже Гюнеш Акар, професор і дослідник групи цифрової безпеки Університету Радбуд і один із керівників. дослідження. «Ми були дуже здивовані цими результатами. Ми думали, що, можливо, ми знайдемо кілька сотень веб-сайтів, на яких збирається ваша електронна пошта, перш ніж ви подасте, але це значно перевершило наші очікування».

Дослідники, які представить свої висновки на конференції з безпеки Usenix у серпні, кажуть, що їх надихнули дослідити те, що вони називають «протікаючими формами», повідомлення ЗМІ, зокрема від Gizmodo., про треті сторони, які збирають дані форми незалежно від статусу подання. Вони зазначають, що за своєю суттю поведінка схожа на так звані кейлоггери, які, як правило, є шкідливими програмами, які реєструють все, що типи цілі. Але на популярному сайті з топ-1000 користувачі, ймовірно, не очікують, що їхня інформація буде записана. А на практиці дослідники побачили кілька варіацій поведінки. Деякі сайти реєстрували дані натискання клавіші за натисканням клавіші, але багато захоплювали повні подані дані з одного поля, коли користувачі переходили до наступного.

«У деяких випадках, коли ви натискаєте наступне поле, вони збирають попереднє, наприклад, ви натискаєте поле пароля, і вони збирають електронну пошту, або ви просто клацаєте в будь-якому місці, і вони відразу збирають всю інформацію», — каже Асуман Сенол, відділ конфіденційності. та дослідник ідентичності в KU Leuven та один із співавторів дослідження. а в США цифри дійсно високі, що цікаво».

Дослідники кажуть, що регіональні відмінності можуть бути пов’язані з тим, що компанії більш обережні щодо відстеження користувачів і навіть потенційно інтегруються з меншою кількістю третіх сторін через Загальний регламент ЄС про захист даних. Але вони наголошують, що це лише одна можливість, і дослідження не вивчало пояснень невідповідності.

Доклавши значних зусиль, щоб сповістити веб-сайти та треті сторони, які збирають дані таким чином, дослідники виявили, що одне з пояснень неочікуваного збору даних, можливо, пов’язане з проблемою диференціації дії «подати» від інших дій користувача в певному веб-сайті. сторінки. Але дослідники наголошують, що з точки зору конфіденційності це не є адекватним виправданням.

Після завершення роботи група також знайшла відкриття про Meta Pixel і TikTok Pixel, невидимих ​​маркетингових трекерів, які служби вбудовують на свої веб-сайти, щоб відстежувати користувачів у мережі та показувати їм рекламу. Обидва стверджували у своїй документації, що клієнти можуть увімкнути «автоматичне розширене зіставлення», яке запускатиме збір даних, коли користувач надсилає форму. На практиці, однак, дослідники виявили, що ці пікселі відстеження захоплювали хешовані адреси електронної пошти, приховані версії адрес електронної пошти, які використовуються для ідентифікації веб-користувачів на різних платформах, перед поданням. Для користувачів із США 8438 сайтів, можливо, передавали дані до Meta, материнської компанії Facebook, через пікселі, а 7379 сайтів можуть постраждати для користувачів із ЄС. Для TikTok Pixel група знайшла 154 сайти для користувачів із США та 147 для користувачів із ЄС.

25 березня дослідники подали звіт про помилку до Мети, і компанія швидко призначила інженера для розгляду справи, але з тих пір група не почула жодного оновлення. Дослідники повідомили TikTok 21 квітня — вони нещодавно виявили поведінку TikTok — і не отримали відповіді. Meta і TikTok не відразу повернули запит WIRED про коментарі щодо висновків.

«Ризики конфіденційності для користувачів полягають у тому, що їх відстежуватимуть ще ефективніше; їх можна відстежувати на різних веб-сайтах, у різних сесіях, на мобільних і настільних ПК», — каже Акар. «Адреса електронної пошти є таким корисним ідентифікатором для відстеження, оскільки вона глобальна, унікальна, постійна. Ви не можете очистити його так, як очищаєте файли cookie. Це дуже потужний ідентифікатор».

Акар також зазначає, що, оскільки технологічні компанії намагаються поступово відмовитися від відстеження на основі файлів cookie з огляду на проблеми конфіденційності, маркетологи та інші аналітики будуть все більше покладатися на статичні ідентифікатори, такі як номери телефонів та адреси електронної пошти.

Оскільки результати свідчать про те, що видалення даних у формі перед подачею може бути недостатнім, щоб захистити себе від усіх зборів, дослідники створили розширення Firefox під назвою LeakInspector для виявлення неправомірного збирання форм. І вони кажуть, що сподіваються, що їхні висновки підвищать обізнаність про цю проблему не тільки для звичайних користувачів Інтернету, але й для розробників і адміністраторів веб-сайтів, які можуть завчасно перевірити, чи їх власні системи або будь-яка з третіх сторін, які вони використовують, збирають дані з форм без погоджується.

Нещільні форми — це лише ще один тип збору даних, якого слід остерігатися в і без того надзвичайно переповненому онлайн-полі.

Ця історія спочатку з’явилася на wired.com.

Залишити коментар

Ваша e-mail адреса не оприлюднюватиметься.