Удивительное количество из 100 000 лучших веб-сайтов фактически включает в себя кейлоггеры, которые тайно перехватывают все, что вы вводите в форму.
Когда вы подписываетеподписаться на информационный бюллетень, забронировать номер в гостинице или оформить онлайн-заявку, вы, вероятно, считаете само собой разумеющимся, что если вы трижды опечатались в своем адресе электронной почты или передумали и удалились со страницы, это не имеет значения. На самом деле ничего не происходит, пока вы не нажмете кнопку «Отправить», верно? Ну, может быть, нет. Согласно
новому исследованию, как и в случае со многими предположениями о сети, это не всегда так: удивительное количество веб-сайтов собирают некоторые или все ваши данные, когда вы вводите их в цифровую форму.
Исследователи из KU Leuven, Университета Радбуда и Университета Лозанны просканировали и проанализировали 100 000 лучших веб-сайтов, изучив сценарии, в которых пользователь посещает сайт, находясь в Европейском союзе, и посещает сайт из США. Они обнаружили, что 1844 веб-сайта собирали адреса электронной почты пользователей из ЕС без их согласия, а ошеломляющие 2950 в той или иной форме регистрировали электронную почту пользователей из США. Многие из сайтов, по-видимому, не собираются вести регистрацию данных, но включают сторонние маркетинговые и аналитические службы, которые вызывают такое поведение.
После специального сканирования сайтов на предмет утечек паролей в мае 2021 года исследователи также обнаружили 52 веб-сайта, на которых третьи лица, в том числе российский технологический гигант «Яндекс», случайно собирали данные паролей перед их отправкой. Группа сообщила о своих выводах этим сайтам, и с тех пор все 52 случая были устранены.
«Если в форме есть кнопка «Отправить», разумно ожидать, что она что-то делает — что она отправит ваши данные, когда вы нажмете на нее», — говорит Гюнеш Акар, профессор и исследователь группы цифровой безопасности Университета Радбауд и один из руководителей. исследования. «Мы были очень удивлены этими результатами. Мы думали, что, возможно, найдем несколько сотен веб-сайтов, на которых ваша электронная почта собирается перед отправкой, но это намного превзошло наши ожидания».
Исследователи, которые представят свои результаты на конференции по безопасности Usenix в августе, говорят, что их вдохновили на исследование так называемых «дырявых форм» сообщения СМИ, в частности Gizmodo , о третьих лицах, собирающих данные форм независимо от статуса отправки. Они отмечают, что по своей сути поведение похоже на так называемые кейлоггеры, которые обычно являются вредоносными программами .которые регистрируют все типы целей. Но на популярном сайте из топ-1000 пользователи, вероятно, не ожидают, что их информация будет зашифрована. И на практике исследователи увидели несколько вариантов поведения. Некоторые сайты регистрировали нажатие клавиши за нажатием клавиши, но многие получали полные данные из одного поля, когда пользователи нажимали на следующее.
«В некоторых случаях, когда вы щелкаете следующее поле, они собирают предыдущее, например, вы щелкаете поле пароля, и они собирают электронную почту, или вы просто щелкаете в любом месте, и они немедленно собирают всю информацию», — говорит Асуман Сенол, специалист по конфиденциальности. и исследователь идентичности в KU Leuven и один из соавторов исследования. «Мы не ожидали найти тысячи веб-сайтов; а в США цифры действительно высокие, что интересно».
Исследователи говорят, что региональные различия могут быть связаны с тем, что компании более осторожно относятся к отслеживанию пользователей и даже потенциально интегрируются с меньшим количеством третьих сторон из-за Общего регламента ЕС по защите данных. Но они подчеркивают, что это всего лишь одна возможность, и исследование не рассматривало объяснения несоответствия.
В результате значительных усилий по уведомлению веб-сайтов и третьих лиц, собирающих данные таким образом, исследователи обнаружили, что одно из объяснений неожиданного сбора данных может быть связано с проблемой дифференциации действия «отправить» от других действий пользователя в определенных веб-сайтах. страницы. Но исследователи подчеркивают, что с точки зрения конфиденциальности это недостаточное оправдание.
После завершения своей статьи группа также узнала о Meta Pixel и TikTok Pixel, невидимых маркетинговых трекерах, которые сервисы встраивают на свои веб-сайты, чтобы отслеживать пользователей в Интернете и показывать им рекламу. Оба утверждали в своей документации, что клиенты могут включить «автоматическое расширенное сопоставление», которое запускает сбор данных, когда пользователь отправляет форму. На практике, однако, исследователи обнаружили, что эти пиксели отслеживания захватывают хешированные адреса электронной почты, скрытую версию адресов электронной почты, используемых для идентификации веб-пользователей на разных платформах, перед отправкой. Для пользователей из США 8 438 сайтов могли передавать данные в Meta, материнскую компанию Facebook, через пиксели, и 7 379 сайтов для пользователей из ЕС могут быть затронуты. Для TikTok Pixel группа нашла 154 сайта для пользователей из США и 147 для пользователей из ЕС.
Исследователи подали отчет об ошибке в Meta 25 марта, и компания быстро назначила инженера для этого случая, но с тех пор группа не получала обновлений. Исследователи уведомили TikTok 21 апреля — они обнаружили поведение TikTok совсем недавно — и не получили ответа. Meta и TikTok не сразу ответили на запрос WIRED о комментариях по поводу результатов.
«Риски конфиденциальности для пользователей заключаются в том, что они будут отслеживаться еще более эффективно; их можно отслеживать на разных веб-сайтах, в разных сеансах, на мобильных и настольных устройствах», — говорит Акар. «Адрес электронной почты — такой полезный идентификатор для отслеживания, потому что он глобальный, уникальный и постоянный. Вы не можете очистить его, как вы очищаете файлы cookie. Это очень мощный идентификатор».
Акар также отмечает, что по мере того, как технологические компании стремятся постепенно отказаться от отслеживания на основе файлов cookie в знак уважения к конфиденциальности, маркетологи и другие аналитики будут все больше и больше полагаться на статические идентификаторы, такие как номера телефонов и адреса электронной почты.
Поскольку результаты показывают, что удаления данных в форме перед ее отправкой может быть недостаточно, чтобы защитить себя от всей коллекции, исследователи создали расширение Firefox под названием LeakInspector для обнаружения мошеннической коллекции форм. И они говорят, что надеются, что их результаты повысят осведомленность об этой проблеме не только для обычных пользователей Интернета, но и для разработчиков веб-сайтов и администраторов, которые могут заранее проверить, собирают ли их собственные системы или какие-либо сторонние системы данные из форм без согласие.
Дырявые формы — это еще один тип сбора данных, которого следует опасаться в и без того чрезвычайно переполненном онлайн-поле.
Лили Хэй Ньюман — старший писатель WIRED, специализирующийся на информационной безопасности, цифровой конфиденциальности и взломе. Ранее она работала репортером по технологиям в журнале Slate и была штатным автором Future Tense, публикации и проекта Slate, Фонда Новой Америки и Университета штата Аризона.
Источник:
https://www.wired.com/story/leaky-forms-keyloggers-meta-tiktok-pixel-study
