Okazuje się, że znaczna liczba popularnych witryn internetowych zawiera wtyczki, które przechwytują wszystko co piszesz w formularzu.
Dokonujesz rezerwacji, prenumerujesz ulubione pismo, płacisz przez internet. Większość ludzi jest przekonana, że zanim wciśnie przycisk wyślij, potwierdź lub inne i zamknie stronę internetową, wszystkie jej dane znikną. Z bardzo dużym prawdopodobieństwem tak się nie stanie. Według nowych badań liczne witryny internetowe gromadzą twoje dane już w momencie wpisywania ich w odpowiednie okienka formularza.
Badacze z KU Leuven, Radboud University i University of Lousanne przeszukali i przeanalizowali 100,000 najpopularniejszych witryn internetowych, przyglądając się scenariuszom, w których użytkownik odwiedza witrynę podczas pobytu w Unii Europejskiej i odwiedza witrynę ze Stanów Zjednoczonych. Okazało się, że 1,844 strony internetowe zebrały adres e-mail użytkownika z UE bez jego zgody, a aż 2,950 zarejestrowało e-mail użytkownika z USA w jakiejś formie. Wiele witryn pozornie nie zamierza prowadzić rejestrowania danych, ale zawiera usługi marketingowe i analityczne innych firm, które powodują takie zachowanie.
Po dokładnym przeszukaniu witryn pod kątem wycieków haseł w maju 2021 r. badacze znaleźli również 52 witryny, w których strony trzecie, w tym rosyjski gigant technologiczny Yandex, „przypadkowo” zbierały dane dotyczące haseł przed ich przesłaniem. Grupa ujawniła swoje odkrycia na tych stronach, a wszystkie 52 przypadki zostały rozwiązane.
„Jeśli w formularzu znajduje się przycisk Prześlij, można się spodziewać, że coś zrobi — że prześle dane po kliknięciu” — mówi Güneş Acar, profesor i badacz w grupie ds. bezpieczeństwa cyfrowego Uniwersytetu Radboud i jeden z liderów. badania. „Byliśmy bardzo zaskoczeni tymi wynikami. Pomyśleliśmy, że może uda nam się znaleźć kilkaset witryn internetowych, na których zbierane są Twoje wiadomości e-mail, zanim je prześlesz, ale to zdecydowanie przekroczyło nasze oczekiwania”.
Badacze, którzy zaprezentują swoje odkrycia na sierpniowej konferencji poświęconej bezpieczeństwu Usenix, twierdzą, że do zbadania tego, co nazywają „nieszczelnymi formularzami”, zainspirowały ich doniesienia medialne, w szczególności z Gizmodo, dotyczące stron trzecich gromadzących dane formularzy niezależnie od statusu ich przesłania. Wskazują, że w istocie zachowanie jest podobne do tak zwanych keyloggerów, które są zazwyczaj złośliwymi programami. W praktyce naukowcy zauważyli kilka odmian zachowania. Niektóre witryny rejestrowały dane naciśnięcia klawiszy, ale wiele z nich pobierało kompletne zgłoszenia z jednego pola, gdy użytkownicy przechodzili do następnego.
Naukowcy twierdzą, że różnice regionalne mogą być związane z tym, że firmy są bardziej ostrożne w śledzeniu użytkowników, a nawet potencjalnie integrują się z mniejszą liczbą stron trzecich, ze względu na ogólne rozporządzenie UE o ochronie danych. Podkreślają jednak, że jest to tylko jedna możliwość, a w badaniu nie zbadano wyjaśnień tej różnicy.
Poprzez znaczne wysiłki, aby powiadomić strony internetowe i strony trzecie gromadzące dane w ten sposób, naukowcy odkryli, że jedno z wyjaśnień niektórych nieoczekiwanych przejęć danych, może mieć związek z wywołaniem akcji „prześlij” od innych działań użytkownika w określonej sieci stron. Jednak badacze podkreślają, że z punktu widzenia prywatności nie jest to wystarczające uzasadnienie.
Od czasu ukończenia artykułu opublikowanego przez naukowców, grupa odkryła również Meta Pixel i TikTok Pixel, niewidoczne narzędzia do śledzenia marketingowego, które osadzają na swoich stronach internetowych, aby sprawdzać użytkowników w sieci i wyświetlać im reklamy. Badacze twierdzili w swojej dokumentacji, że klienci mogą włączyć „automatyczne zaawansowane dopasowywanie”, które uruchamiałoby zbieranie danych, gdy użytkownik przesłał formularz. W praktyce jednak stwierdzono, że wtyczki śledzące przed przesłaniem pobierały zaszyfrowane adresy e-mail, które następnie były używane do identyfikacji użytkowników sieci na różnych platformach. W przypadku użytkowników z USA, 8,438 witryn mogło przesyłać dane do Meta, firmy macierzystej Facebooka, za pośrednictwem pikseli, a 7,379 witryn może kontrolować użytkowników z UE. W przypadku TikTok Pixel grupa znalazła 154 witryny dla użytkowników z USA i 147 dla użytkowników z UE.
Naukowcy złożyli raport o błędzie w firmie Meta 25 marca, a firma szybko przydzieliła inżyniera do sprawy, ale od tego czasu grupa nie słyszała o aktualizacji. Badacze powiadomili TikTok 21 kwietnia — niedawno odkryli zachowanie platformy — i nie otrzymali odpowiedzi. Meta i TikTok nie od razu zwróciły się do WIRED z prośbą o komentarz na temat ustaleń.
„Ryzyko prywatności dla użytkowników polega na tym, że będą śledzeni jeszcze skuteczniej; można ich śledzić na różnych stronach internetowych, w różnych sesjach, na urządzeniach mobilnych i komputerach stacjonarnych” — mówi Acar. „Adres e-mail jest bardzo przydatnym identyfikatorem do śledzenia, ponieważ jest globalny, niepowtarzalny i stały. Nie możesz go wyczyścić tak, jak usuwasz pliki cookie. To bardzo potężny identyfikator”.
Na podst. „Leaky Forms Usenix”; wired.com
Adrian Pluta
E-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
