Niektorých 100 000 najlepších webových stránok zhromažďuje všetko, čo napíšete – ešte predtým, ako stlačíte tlačidlo Odoslať

Keď sa prihlásite na odber noviniek, urobíte rezerváciu v hoteli alebo online, pravdepodobne považujete za samozrejmosť, že ak trikrát zadáte nesprávne e-mailovú adresu alebo si to rozmyslíte a X opustíte stránku, nevadí. V skutočnosti sa nič nestane, kým nestlačíte tlačidlo Odoslať, však? No možno nie. Ako u mnohých predpokladov o webe, nie je to vždy tak nový výskum: Prekvapivý počet webových stránok zhromažďuje niektoré alebo všetky vaše údaje, keď ich zadávate do digitálnej podoby.

Výskumníci z KU Leuven, Radboud University a University of Lausanne prehľadali a analyzovali 100 000 najlepších webových stránok, pričom skúmali scenáre, v ktorých používateľ navštevuje stránku v Európskej únii a navštevuje stránku zo Spojených štátov. Zistili, že 1 844 webových stránok zhromaždilo e-mailovú adresu používateľa z EÚ bez jeho súhlasu a ohromujúcich 2 950 zaznamenalo v nejakej forme e-mail používateľa z USA. Zdá sa, že mnohé zo stránok nemajú v úmysle vykonávať zaznamenávanie údajov, ale zahŕňajú marketingové a analytické služby tretích strán, ktoré spôsobujú toto správanie.

Po špecifickom prehľadávaní stránok kvôli úniku hesiel v máji 2021 výskumníci tiež našli 52 webových stránok, na ktorých tretie strany, vrátane ruského technologického giganta Yandex, náhodne zbierali údaje o heslách pred odoslaním. Skupina zverejnila svoje zistenia na týchto stránkach a všetkých 52 prípadov bolo odvtedy vyriešených.

„Ak je na formulári tlačidlo Odoslať, rozumným očakávaním je, že niečo urobí – že po kliknutí naň odošle vaše údaje,“ hovorí Güneş Acar, profesor a výskumník zo skupiny digitálnej bezpečnosti Radboud University a jeden z vedúcich. štúdie. „Tieto výsledky nás veľmi prekvapili. Mysleli sme si, že pred odoslaním nájdeme niekoľko stoviek webových stránok, na ktorých sa zhromažďujú vaše e-maily, ale toto ďaleko prekročilo naše očakávania.“

Výskumníci, ktorí budú prítomný ich zistenia na bezpečnostnej konferencii v Usenixe v auguste hovoria, že ich inšpirovali správy médií, aby preskúmali to, čo nazývajú „netesné formy“, obzvlášť od Gizmodo, o tretích stranách, ktoré zhromažďujú údaje z formulárov bez ohľadu na stav odoslania. Poukazujú na to, že vo svojej podstate je správanie podobné takzvaným keyloggerom, ktoré sú typické škodlivé programy ktoré zaznamenávajú všetko, čo cieľ zadá. Ale na bežnom webe s 1 000 top, používatelia pravdepodobne nebudú očakávať, že budú mať svoje informácie zapísané do kľúča. A v praxi vedci videli niekoľko variácií správania. Niektoré stránky zaznamenávali údaje stlačenia klávesu po stlačení klávesu, no mnohé z nich po kliknutí na ďalšie pole zachytili kompletné príspevky z jedného poľa.

„V niektorých prípadoch, keď kliknete na ďalšie pole, zhromažďujú predchádzajúce, napríklad keď kliknete na pole s heslom a oni zhromaždia e-mail, alebo stačí kliknúť kamkoľvek a okamžite zhromaždia všetky informácie,“ hovorí Asuman Senol, ochrana osobných údajov. a výskumník identity na KU Leuven a jeden zo spoluautorov štúdie. „Nečakali sme, že nájdeme tisíce webových stránok; a v USA sú čísla naozaj vysoké, čo je zaujímavé.“

Výskumníci tvrdia, že regionálne rozdiely môžu súvisieť s tým, že spoločnosti sú opatrnejšie pri sledovaní používateľov a dokonca sa potenciálne integrujú s menším počtom tretích strán z dôvodu všeobecného nariadenia EÚ o ochrane údajov. Zdôrazňujú však, že je to len jedna možnosť a štúdia neskúmala vysvetlenia tohto rozdielu.

Vďaka značnému úsiliu informovať webové stránky a tretie strany, ktoré týmto spôsobom zhromažďujú údaje, výskumníci zistili, že jedno z vysvetlení niektorých neočakávaných zberov údajov môže súvisieť s výzvou odlíšiť akciu „odoslania“ od akcií iných používateľov na určitom webe. stránky. Vedci však zdôrazňujú, že z hľadiska súkromia to nie je dostatočné odôvodnenie.

Od ukončenia papier, skupina tiež objavila Meta Pixel a TikTok Pixel, neviditeľné marketingové sledovače, ktoré služby vkladajú na svoje webové stránky, aby sledovali používateľov na webe a zobrazovali im reklamy. Obaja vo svojej dokumentácii tvrdili, že zákazníci si môžu zapnúť „automatickú rozšírenú zhodu“, ktorá spustí zber údajov, keď používateľ odošle formulár. V praxi však výskumníci zistili, že tieto sledovacie pixely pred odoslaním zachytávali hašované e-mailové adresy, zakrytú verziu e-mailových adries používaných na identifikáciu používateľov webu na rôznych platformách. Pre používateľov z USA mohlo 8 438 stránok uniknúť údaje do Meta, materskej spoločnosti Facebooku, prostredníctvom pixelov a 7 379 stránok môže byť ovplyvnených pre používateľov z EÚ. Pre TikTok Pixel skupina našla 154 stránok pre používateľov z USA a 147 pre používateľov z EÚ.

Výskumníci podali hlásenie o chybe spoločnosti Meta 25. marca a spoločnosť rýchlo pridelila k prípadu inžiniera, ale odvtedy skupina nepočula žiadnu aktualizáciu. Výskumníci oznámili TikTok 21. apríla – správanie TikTok objavili nedávno – a nepočuli. Meta a TikTok okamžite nevrátili žiadosť WIRED o komentár k zisteniam.

„Rizikom ochrany súkromia pre používateľov je, že budú sledovaní ešte efektívnejšie; možno ich sledovať na rôznych webových stránkach, v rôznych reláciách, na mobilných zariadeniach a počítačoch,“ hovorí Acar. „E-mailová adresa je veľmi užitočným identifikátorom na sledovanie, pretože je globálna, jedinečná, stála. Nemôžete to vyčistiť tak, ako vymažete súbory cookie. Je to veľmi silný identifikátor.”

Acar tiež poukazuje na to, že keďže sa technologické spoločnosti snažia postupne ukončiť sledovanie založené na súboroch cookie v súlade s obavami o súkromie, obchodníci a ďalší analytici sa budú čoraz viac spoliehať na statické identifikátory, ako sú telefónne čísla a e-mailové adresy.

Keďže zistenia naznačujú, že vymazanie údajov vo formulári pred ich odoslaním nemusí stačiť na to, aby ste sa ochránili pred akýmkoľvek zberom, vedci vytvorili rozšírenie pre Firefox zavolal LeakInspector, aby zistil nepoctivé zhromažďovanie formulárov. A hovoria, že dúfajú, že ich zistenia zvýšia povedomie o tomto probléme, nielen pre bežných používateľov webu, ale aj pre vývojárov a správcov webových stránok, ktorí môžu proaktívne kontrolovať, či ich vlastné systémy alebo niektorá z tretích strán, ktoré používajú, zhromažďuje údaje z formulárov bez súhlas.

Deravé formuláre sú len ďalším typom zberu údajov, na ktorý si treba dávať pozor v už tak extrémne preplnenom online poli.

Tento príbeh sa pôvodne objavil na wired.com.

Leave a Comment