A legnépszerűbb 100 000 webhely mindent összegyűjt, amit beír – még mielőtt megnyomná a beküldést

Amikor feliratkozik egy hírlevélre, foglal szállást vagy kijelentkezik online, valószínűleg magától értetődőnek tekinti, hogy ha háromszor félreírja az e-mail címét, vagy meggondolja magát, és X elhagyja az oldalt, az nem számít. Valójában semmi sem történik, amíg meg nem nyomod a Küldés gombot, igaz? Nos, talán nem. A webre vonatkozó sok feltételezéshez hasonlóan ez sem mindig igaz új kutatás: Meglepően sok webhely gyűjti az adatok egy részét vagy egészét, miközben Ön digitális űrlapba írja be azokat.

A KU Leuven, a Radboud Egyetem és a Lausanne Egyetem kutatói feltérképezték és elemezték a 100 000 legnépszerűbb webhelyet, és megvizsgálták azokat a forgatókönyveket, amelyekben a felhasználó az Európai Unióban, illetve az Egyesült Államokból látogat egy webhelyre. Azt találták, hogy 1844 webhely gyűjtötte össze egy uniós felhasználó e-mail-címét a beleegyezésük nélkül, és elképesztően 2950 naplózott valamilyen formában egy egyesült államokbeli felhasználó e-mail-címét. Úgy tűnik, hogy sok webhelynek nem szándékozik adatnaplózást végezni, hanem harmadik féltől származó marketing- és elemzési szolgáltatásokat tartalmaz, amelyek a viselkedést okozzák.

Miután 2021 májusában kifejezetten jelszavak kiszivárogtatását célzó webhelyeket térképeztek fel, a kutatók 52 olyan webhelyet is találtak, amelyeken harmadik felek, köztük a Yandex orosz technológiai óriás, véletlenül jelszóadatokat gyűjtöttek a beküldés előtt. A csoport nyilvánosságra hozta megállapításait ezeknek a webhelyeknek, és azóta mind az 52 esetet megoldották.

“Ha egy űrlapon van Küldés gomb, az ésszerű elvárás az, hogy csináljon valamit – elküldi az adatait, amikor rákattint” – mondja Güneş Acar, a Radboud Egyetem digitális biztonsági csoportjának professzora és kutatója, valamint az egyik vezetője. a tanulmányból. „Nagyon meglepődtünk ezeken az eredményeken. Azt gondoltuk, hogy találunk néhány száz olyan webhelyet, ahol az e-mailjeit gyűjtik, mielőtt elküldené, de ez messze felülmúlta várakozásainkat.”

A kutatók, akik ajándék az augusztusi Usenix biztonsági konferencián tett megállapításaik szerint a médiajelentések inspirálták őket az úgynevezett „szivárgó formák” vizsgálatára. különösen tól től Gizmodo, az űrlapadatokat gyűjtő harmadik felekről a benyújtás állapotától függetlenül. Rámutatnak, hogy lényegében a viselkedés hasonló az úgynevezett keyloggerekhez, amelyek jellemzően ilyenek rosszindulatú programok hogy naplózza mindazt, amit a céltípusok tartalmaznak. De egy 1000 legnépszerűbb webhelyen a felhasználók valószínűleg nem számítanak arra, hogy információik billentyűnaplózására kerül sor. A gyakorlatban pedig a kutatók a viselkedés néhány változatát látták. Egyes webhelyek billentyűleütésenként naplózták az adatokat, de sok esetben teljes beadványt kaptak az egyik mezőből, amikor a felhasználók a következőre kattintottak.

“Bizonyos esetekben, amikor a következő mezőre kattint, összegyűjtik az előzőt, például ha rákattint a jelszómezőre, és gyűjtik az e-mailt, vagy egyszerűen kattintson bárhova, és azonnal begyűjtik az összes információt” – mondja Asuman Senol, az adatvédelmi felelős. és a KU Leuven identitáskutatója és a tanulmány egyik társszerzője. „Nem számítottunk arra, hogy több ezer webhelyet találunk; az Egyesült Államokban pedig nagyon magasak a számok, ami érdekes.”

A kutatók szerint a regionális különbségek azzal magyarázhatók, hogy a vállalatok óvatosabbak a felhasználók követésében, sőt, az EU általános adatvédelmi rendelete miatt kevesebb harmadik féllel is integrálódhatnak. De hangsúlyozzák, hogy ez csak egy lehetőség, és a tanulmány nem vizsgálta az eltérés magyarázatát.

Az ily módon adatokat gyűjtő webhelyek és harmadik felek értesítésére tett jelentős erőfeszítések révén a kutatók arra a következtetésre jutottak, hogy a váratlan adatgyűjtés egyik magyarázata az lehet, hogy meg kell különböztetni a „beküldés” műveletet a többi felhasználói művelettől bizonyos weben. oldalakat. A kutatók azonban hangsúlyozzák, hogy a magánélet védelmében ez nem megfelelő indoklás.

Mióta befejezte a papír, a csoport felfedezte a Meta Pixel és a TikTok Pixel láthatatlan marketingkövetőket is, amelyeket a szolgáltatások beágyaznak webhelyeikre, hogy nyomon kövessék a felhasználókat az interneten, és hirdetéseket jelenítsenek meg nekik. Mindketten azt állították a dokumentációjukban, hogy az ügyfelek bekapcsolhatják az „automatikus speciális egyezést”, amely adatgyűjtést indít el, amikor a felhasználó benyújt egy űrlapot. A gyakorlatban azonban a kutatók azt találták, hogy ezek a nyomkövető pixelek kivonatolt e-mail címeket ragadtak meg, az e-mail címek homályos változatát, amelyet a webes felhasználók azonosítására használtak a különböző platformokon, a beküldés előtt. Az egyesült államokbeli felhasználók esetében 8438 webhely szivároghatott ki adatokat pixeleken keresztül a Metának, a Facebook anyavállalatának, az EU-felhasználók esetében pedig 7379 oldalt. A TikTok Pixel esetében a csoport 154 webhelyet talált az Egyesült Államokban és 147-ben az EU-ban.

A kutatók március 25-én hibajelentést nyújtottak be a Metának, és a cég gyorsan kirendelt egy mérnököt az esethez, de a csoport azóta sem hallott frissítést. A kutatók április 21-én értesítették a TikTokot – nemrég fedezték fel a TikTok viselkedését –, és nem kaptak visszajelzést. A Meta és a TikTok nem küldte azonnal vissza a WIRED kérését, hogy kommentálja az eredményeket.

„A felhasználók adatvédelmi kockázatai az, hogy még hatékonyabban követik nyomon őket; nyomon követhetők különböző webhelyeken, különböző munkameneteken keresztül, mobilon és asztali számítógépen” – mondja Acar. „Az e-mail cím nagyon hasznos azonosító a nyomon követéshez, mert globális, egyedi, állandó. Nem törölheti úgy, mint a cookie-kat. Ez egy nagyon erős azonosító.”

Az Acar arra is felhívja a figyelmet, hogy miközben a technológiai cégek fokozatosan megszüntetik a cookie-alapú nyomon követést az adatvédelmi aggályok miatt, a marketingesek és más elemzők egyre nagyobb mértékben támaszkodnak majd a statikus azonosítókra, például telefonszámokra és e-mail címekre.

Mivel az eredmények azt mutatják, hogy az adatok beküldés előtti törlése egy űrlapon nem biztos, hogy elég ahhoz, hogy megvédje magát az összes adatgyűjtéstől, a kutatók létrehoztak egy Firefox kiterjesztés a LeakInspector nevű program a csaló űrlapgyűjtemény észlelésére. Azt mondják, remélik, hogy eredményeik felhívják a figyelmet a problémára, nem csak a rendszeres webfelhasználók körében, hanem a webhelyfejlesztők és adminisztrátorok körében is, akik proaktívan ellenőrizhetik, hogy saját rendszereik vagy az általuk használt harmadik felek nem gyűjtenek-e adatokat az űrlapokról. beleegyezés.

A kiszivárgó űrlapok csak egy további adatgyűjtési típus, amelytől óvakodni kell az amúgy is rendkívül zsúfolt online területen.

Ez a történet eredetileg a vezetékes.com.

Leave a Comment