Топ сайтове следят какво пишете още преди да сте натиснали „изпрати“
Изследване открива, че изненадващо голям брой водещи уебсайтове събират информацията, която въвеждате – например пароли или имейл адреси при процеса на регистрация – дори тогава, когато не завършите процеса и не кликнете на „изпрати“.
Изследователи от Льовенския университет, Университетът Радбъд и Лозанския университет разглеждат водещите 100 000 сайта. За да установи дали онлайн тракерите не злоупотребяват с достъпа до онлайн формулярите, екипът браузва така, сякаш се намира в САЩ и Европейския съюз. Сред топ сайтовете, в които имейл адресите изтичат до домейните за проследяване, са USAToday и Independent, макар че проблемите на тези две конкретни места вече са разрешени.
„Имейлите на потребителите се ексфилтрират до домейните за проследяване, маркетинг и анализи още преди формулярът да е изпратен и преди даването на съгласие в 1844 сайта в случаите, когато те са посетени от Европейския съюз, и в 2950, когато се браузва в тях от САЩ“, пише екипът в своето изследване, което ще бъде представено на конференцията за сигурност и лични данни USENIX Security22.
Самите сайтове не използват задължително данните, но те работят с трети лица (маркетингови и анализаторски услуги), които боравят с тях. 52 сайта събират данни за хората още преди някой да е кликнал на бутона „изпрати“, включително руският домейн на „Тойота“ и руският технологичен гигант Yandex.
„Ако има бутон „изпрати“, човек приема с основание, че той върши нещо – че той ще изпрати вашите данни, когато кликнете на него – казва Гюнс Акар, професор и изследовател от Университета Редбъд пред Wired. – Бяхме изключително изненадани от тези резултати. Смятахме, че ще се натъкнем на няколкостотин сайта, при които имейлите се събират преди натискане на „изпрати“, но това надвишава значително очакванията ни.“
В допълнително изследване специалистите откриват, че Meta и TikTok „събират хеширана лична информация в уеб формите дори тогава, когато потребителят избере да не ги изпрати и не даде своето съгласие.“
През март 2022 г. те проучват допълнително уебсайтовете, при което бот въвежда имейл и парола, след което кликва на нещо, което го отвежда на друго място, различно от интернет страницата (без да кликва на бутона „изпрати“). Идеята е да се установи дали тази информация достига до т.нар. Automatic Advanced Matching на Meta и TikTok, отговорен за събирането на лични данни.
„Открихме, че 8348 сайтове от САЩ и 7379 от Европейския съюз могат да предадат данни към Meta, когато потребителят кликне буквално на който и да е бутон или линк, след като попълни формуляр“, пишат специалистите. „Освен това открихме, че 154 сайтове от САЩ и 147 от Европейския съюз могат да направят същото и да подадат данните ви към TikTok”.
Източник: IFLScience