Изненадващо голям брой от 100 000-те най-големи уебсайта ефективно включват кийлогъри, които тайно прихващат всички знаци, които въвеждате
Когато се абонирате за бюлетин, правите хотелска резервация или проверявате нещо онлайн, вероятно приемате за даденост, че ако три пъти сгрешите имейл адреса си или размислите и излезете от страницата, това няма значение. Всъщност нищо не се случва, докато не натиснете бутона „Изпрати“, нали? Е, може би не. Според ново изследване, както и при много други предположения за мрежата, това не винаги е така: Изненадващ брой уебсайтове събират някои или всички ваши данни, докато ги въвеждате в цифрова форма.
Изследователи от Католическия университет в Льовен, Университета Радбуд и Увниверситета Лозана провериха и анализираха 100 000 най-големи уебсайта, като разгледаха сценарии, при които даден потребител посещава сайт, докато е в Европейския съюз и в САЩ. Те установиха, че 1844 уебсайта са събрали имейл адреса на потребител от ЕС без неговото съгласие, а зашеметяващите 2950 са регистрирали под някаква форма имейл адреса на потребител от САЩ. Много от сайтовете очевидно не възнамеряват да извършват регистриране на данни, а включват маркетингови и аналитични услуги на трети страни, които предизвикват това поведение.
След като през май 2021 г. изследователите специално претърсват сайтове за изтичане на пароли, те откриват и 52 уебсайта, в които трети страни, случайно събират данни за пароли преди изпращането им. Групата разкри своите констатации пред тези сайтове и оттогава всички 52 случая са разрешени.
„Ако във формуляра има бутон „Изпрати“, разумното очакване е, че той ще направи нещо – че ще изпрати данните ви, когато го натиснете“, казва Гюнеш Акар, професор и изследовател в групата за цифрова сигурност на университета Радбуд и един от ръководителите на проучването. „Бяхме супер изненадани от тези резултати. Мислехме, че може би ще намерим няколкостотин уебсайта, в които се събира вашата електронна поща, преди да я изпратите, но това далеч надмина очакванията ни.“
Изследователите, които ще представят резултатите си на конференцията за сигурност Usenix през август, казват, че са били вдъхновени да проучат това, което наричат „изтичащи формуляри“, от медийни съобщения, особено от Gizmodo, за трети страни, които събират данни от формуляри, независимо от статуса на подаване. Те посочват, че в основата си поведението е подобно на т.нар. кийлогъри, които обикновено са злонамерени програми, които записват всичко, което целта им напише. Но в популярен сайт от топ 1000 потребителите вероятно няма да очакват информацията им да бъде записвана с такива програми. На практика обаче изследователите са видели няколко варианта това да се случва. Някои сайтове регистрират натискане на всеки един клавиш, но много от тях прихващат пълни заявки от едно поле, когато потребителите щракваха върху следващото.
„В някои случаи, когато щракнете върху следващото поле, те събират предишното, като например щракнете върху полето за парола и те събират имейла, или просто щракнете където и да е и те веднага събират цялата информация“, казва Асуман Шенол, изследовател на поверителността и идентичността в Католическия университет в Льовен и един от съавторите на проучването.
Изследователите твърдят, че регионалните различия може да са свързани с това, че компаниите са по-предпазливи по отношение на проследяването на потребителите и дори потенциално се интегрират с по-малко трети страни заради Общия регламент за защита на данните на ЕС. Но те подчертават, че това е само една от възможностите и в проучването не са разглеждани обяснения за различията.
Чрез значителни усилия за уведомяване на уебсайтовете и третите страни, които събират данни по този начин, изследователите установиха, че едно от обясненията за някои от неочакваните случаи на събиране на данни може да е свързано с предизвикателството да се разграничи действието „изпрати“ от други действия на потребителя на определени уебстраници. Но изследователите подчертават, че от гледна точка на защитата на личните данни това не е адекватно оправдание.
След завършването на работата си групата откри и Meta Pixel и TikTok Pixel – невидими маркетингови тракери, които услугите вграждат в своите уебсайтове, за да проследяват потребителите в мрежата и да им показват реклами. В документацията и на двата продукта се твърди, че клиентите могат да включат „автоматично разширено съвпадение“, което ще задейства събирането на данни, когато потребителят изпрати формуляр. На практика обаче изследователите са установили, че тези пиксели за проследяване са улавяли преди подаване на формуляра хеширани имейл адреси – затъмнена версия на имейл адресите, използвани за идентифициране на уеб потребители в различни платформи. За потребителите от САЩ 8438 сайта може да са изтичали данни към Meta, компанията майка на Facebook, чрез пиксели, а за потребителите от ЕС това може да е засегнало 7379 сайта. За пикселите на TikTok групата е открила 154 сайта за потребителите в САЩ и 147 за потребителите в ЕС.
Изследователите са подали доклад за грешка в Meta на 25 март и компанията бързо е назначила инженер по случая, но оттогава групата не е получила данни какво се е случило. Изследователите са уведомили TikTok на 21 април и не са получили отговор. До момента на публикуването на статията, Meta и TikTok не отговориха на искането на „WIRED“ за коментар относно констатациите.
„Рисковете за неприкосновеността на личния живот на потребителите са свързани с това, че те ще бъдат проследявани още по-ефективно; могат да бъдат проследявани в различни уебсайтове, в различни сесии, в мобилни и настолни устройства“, казва Акар. „Имейл адресът е толкова полезен идентификатор за проследяване, защото е глобален, уникален и постоянен. Не можете да го изтриете, както изтривате бисквитките си. Това е много силен идентификатор.“
Акар също така посочва, че докато технологичните компании се стремят постепенно да премахнат проследяването, основано на бисквитки, в знак на загриженост за неприкосновеността на личния живот, маркетолозите и други анализатори ще разчитат все повече на статични идентификатори като телефонни номера и имейл адреси.
Тъй като констатациите показват, че изтриването на данни от формуляра преди изпращането му може да не е достатъчно, за да се предпазите от всички видове събиране, изследователите създадоха разширение за Firefox, наречено LeakInspector, за откриване на нелоялно събиране на данни от формуляри. И казват, че се надяват техните открития да повишат осведомеността по този въпрос не само за обикновените потребители на уебсайтове, но и за разработчиците и администраторите на уебсайтове, които могат активно да проверяват дали техните собствени системи или някоя от третите страни, които използват, събират данни от формуляри без съгласие.
Пропускливите формуляри са само още един вид събиране на данни, за който трябва да внимавате в и без това изключително пренаселеното онлайн поле.
Източник: Wired
Автор: Лили Хей Нюман
Превод: Александър Попов