Kai kurios 100 000 populiariausių svetainių surenka viską, ką įvedate – prieš paspausdami pateikti

Kai prisiregistruojate gauti naujienlaiškį, rezervuojate viešbutį arba išsiregistruojate internetu, tikriausiai savaime suprantama, kad jei tris kartus neteisingai įvesite el. pašto adresą arba apsigalvosite ir išeitumėte iš puslapio X, tai nesvarbu. Niekas iš tikrųjų neįvyksta, kol nepaspaudžiate mygtuko Pateikti, tiesa? Na, gal ir ne. Anot daugelio prielaidų apie internetą, taip yra ne visada naujų tyrimų: Stebėtina daug svetainių renka kai kuriuos arba visus jūsų duomenis, kai įvedate juos į skaitmeninę formą.

Tyrėjai iš KU Leuven, Radboud universiteto ir Lozanos universiteto apžiūrėjo ir išanalizavo 100 000 populiariausių svetainių, nagrinėdami scenarijus, kai vartotojas lankosi svetainėje būdamas Europos Sąjungoje ir svetainėje iš JAV. Jie nustatė, kad 1 844 svetainės surinko ES naudotojo el. pašto adresą be jų sutikimo, o stulbinančiai 2 950 svetainių tam tikra forma užregistravo JAV naudotojo el. Panašu, kad daugelis svetainių neketina registruoti duomenų, bet apima trečiųjų šalių rinkodaros ir analizės paslaugas, kurios sukelia tokį elgesį.

2021 m. gegužę specialiai aptikę slaptažodžių nutekėjimo svetaines, mokslininkai taip pat aptiko 52 svetaines, kuriose trečiosios šalys, įskaitant Rusijos technologijų milžinę „Yandex“, atsitiktinai rinko slaptažodžių duomenis prieš pateikdami. Grupė atskleidė savo išvadas šioms svetainėms, ir nuo to laiko visi 52 atvejai buvo išspręsti.

„Jei formoje yra mygtukas Pateikti, pagrįstai tikimasi, kad ji ką nors padarys – pateiks jūsų duomenis, kai ją spustelėsite“, – sako Güneş Acar, Radboudo universiteto skaitmeninės saugos grupės profesorius ir tyrėjas bei vienas iš vadovų. tyrimo. „Buvome labai nustebinti šiais rezultatais. Manėme, kad galbūt surasime kelis šimtus svetainių, kuriose renkami jūsų el. pašto adresai, prieš pateikdami, bet tai gerokai viršijo mūsų lūkesčius.

Tyrėjai, kurie pateikti rugpjūtį vykusios Usenix saugumo konferencijos išvados teigia, kad ištirti, ką jie vadina „nesandariomis formomis“, juos įkvėpė žiniasklaidos pranešimai, ypačGizmodo, apie trečiąsias šalis, renkančias formos duomenis, neatsižvelgiant į pateikimo būseną. Jie pabrėžia, kad iš esmės elgesys yra panašus į vadinamuosius klavišų kaupiklius, kurie paprastai yra kenkėjiškų programų kad registruojasi viskas, ką taiko tipai. Tačiau pagrindinėje 1000 populiariausių svetainėje vartotojai tikriausiai nesitikės, kad jų informacija bus užregistruota. Ir praktiškai mokslininkai matė keletą elgesio variantų. Kai kurios svetainės registruodavo duomenis po klavišo paspaudimo, tačiau daugelis iš vieno lauko gaudavo visus pateiktus duomenis, kai naudotojai spustelėjo kitą.

„Kai kuriais atvejais, kai spustelite kitą lauką, jie surenka ankstesnį, pavyzdžiui, jūs spustelėsite slaptažodžio lauką ir jie surenka el. laišką, arba tiesiog spustelėsite bet kur ir jie iškart surenka visą informaciją“, – sako Asumanas Senol, privatumo specialistas. ir tapatybės tyrinėtojas iš KU Leuven ir vienas iš tyrimo bendraautorių. „Nesitikėjome rasti tūkstančių svetainių; o JAV skaičiai tikrai dideli, o tai įdomu.

Tyrėjai teigia, kad regioniniai skirtumai gali būti susiję su įmonių atsargesnėmis vartotojų stebėjimu ir netgi galimybe integruotis su mažiau trečiųjų šalių dėl ES Bendrojo duomenų apsaugos reglamento. Tačiau jie pabrėžia, kad tai tik viena galimybė, o tyrimas nenagrinėjo skirtumų paaiškinimų.

Dėdami daug pastangų pranešti svetainėms ir trečiosioms šalims, renkančioms duomenis tokiu būdu, mokslininkai nustatė, kad vienas iš netikėtų duomenų rinkimo paaiškinimų gali būti susijęs su iššūkiu atskirti veiksmą „pateikti“ nuo kitų naudotojo veiksmų tam tikrame žiniatinklyje. puslapių. Tačiau mokslininkai pabrėžia, kad privatumo požiūriu tai nėra tinkamas pateisinimas.

Nuo tada, kai baigė popierius, grupė taip pat atrado apie „Meta Pixel“ ir „TikTok Pixel“ – nematomus rinkodaros stebėjimo įrenginius, kuriuos paslaugos įterpia į savo svetaines, kad galėtų stebėti vartotojus visame žiniatinklyje ir rodyti jiems skelbimus. Abi savo dokumentuose teigė, kad klientai gali įjungti „automatinį išplėstinį atitikimą“, kuris suaktyvintų duomenų rinkimą, kai vartotojas pateiks formą. Tačiau praktiškai mokslininkai išsiaiškino, kad šie stebėjimo taškai prieš pateikdami gaudavo maišos el. pašto adresus – neaiškią el. pašto adresų versiją, naudojamą žiniatinklio naudotojams identifikuoti įvairiose platformose. JAV naudotojams 8 438 svetainės galėjo nutekėti duomenis į „Meta“, „Facebook“ patronuojančią bendrovę, per pikselius, o 7 379 svetainės gali būti paveiktos ES naudotojams. „TikTok Pixel“ grupė rado 154 svetaines JAV ir 147 ES vartotojams.

Kovo 25 d. mokslininkai „Meta“ pateikė pranešimą apie klaidą, o įmonė greitai paskyrė inžinierių šiai bylai, tačiau nuo to laiko grupė negirdėjo atnaujinimo. Tyrėjai pranešė „TikTok“ balandžio 21 d. – „TikTok“ elgseną jie atrado visai neseniai – ir nieko negirdėjo. „Meta“ ir „TikTok“ iš karto negrąžino WIRED prašymo pakomentuoti išvadas.

„Vartotojų privatumo rizika yra ta, kad jie bus dar efektyviau sekami; juos galima stebėti įvairiose svetainėse, seansuose, mobiliuosiuose įrenginiuose ir staliniuose kompiuteriuose“, – sako Acar. „El. pašto adresas yra toks naudingas stebėjimo identifikatorius, nes jis yra visuotinis, unikalus, pastovus. Negalite jo išvalyti taip, kaip išvalysite slapukus. Tai labai galingas identifikatorius.

Acar taip pat atkreipia dėmesį į tai, kad technologijų įmonėms ketinant palaipsniui atsisakyti slapukais pagrįsto stebėjimo, reikšdamos susirūpinimą dėl privatumo, rinkodaros specialistai ir kiti analitikai vis labiau pasikliaus statiniais ID, pvz., telefono numeriais ir el. pašto adresais.

Kadangi išvados rodo, kad ištrynus duomenis iš formos prieš pateikiant juos gali nepakakti apsisaugoti nuo viso rinkinio, mokslininkai sukūrė Firefox plėtinys paskambino LeakInspector, kad aptiktų nesąžiningą formų rinkinį. Jie sako, kad tikisi, kad jų išvados padidins informuotumą apie šią problemą ne tik įprastiems žiniatinklio naudotojams, bet ir svetainių kūrėjams bei administratoriams, kurie gali aktyviai patikrinti, ar jų pačių sistemos ar bet kuri iš jų naudojamų trečiųjų šalių renka duomenis iš formų be sutikimas.

Nesandarios formos yra tik dar vienas duomenų rinkimo tipas, kurio reikia saugotis ir taip perpildytame interneto lauke.

Ši istorija iš pradžių pasirodė wired.com.

Leave a Comment