Ktoś zawsze patrzy
Badacze przeanalizowali 100 000 najpopularniejszych stron internetowych i przyjrzeli się różnym scenariuszom – na przykład porównali zachowanie stron odwiedzanych przez użytkowników podczas ich pobytu w UE i USA.
Okazało się, że 1844 portale zbierały adresy e-mail przed przesłaniem i zatwierdzeniem formularzy przez użytkowników z UE. W Stanach Zjednoczonych było to 2950. Wiele z nich podobno zawiera oprogramowanie marketingowe i analityczne innych firm, które automatycznie zbiera te informacje.
Co ciekawe, badacze odkryli również, że hasła do 52 stron internetowych zostały przypadkowo zebrane przez zewnętrzne skrypty odtwarzania sesji. Grupa opublikowała swoje odkrycia na tych stronach, a wszystkie 52 przypadki zostały podobno rozwiązane.
Z badania wynika, że strony internetowe wykorzystywały różne sposoby gromadzenia danych. Niektóre z nich rejestrowały naciśnięcia klawiszy, podczas gdy inne pobierały pełne raporty z jednego pola , gdy użytkownicy klikali kolejne.
Asuman Senol, badacz prywatności i tożsamości w KU Leuven i jeden ze współautorów badania, skomentował:
W niektórych przypadkach, gdy klikniesz na następne pole, zbierają poprzednie, tak jak klikasz na pole hasła i zbierasz e-mail, lub po prostu klikasz gdziekolwiek i natychmiast zbierają wszystkie informacje. Nie spodziewaliśmy się, że znajdziemy tysiące stron internetowych; a w USA liczby są naprawdę wysokie, co jest interesujące.
Podczas dochodzenia badacze odkryli również, że Meta (dawniej Facebook) i TikTok zbierają zaszyfrowane dane osobowe z formularzy internetowych, nawet jeśli użytkownik zdecyduje się nie przesyłać formularza.
Będziemy śledzeni jeszcze skuteczniej
Jak podkreślił Güneş Akar, profesor i badacz w Digital Security Group na Uniwersytecie Radboud i współkierownik badań:
Jeśli formularz ma przycisk >> Prześlij <<, można oczekiwać, że coś zrobi — prześlij swoje dane po kliknięciu. Byliśmy bardzo zaskoczeni tymi wynikami. Pomyśleliśmy, że możemy znaleźć kilkaset stron internetowych, które zbierają wiadomości e-mail przed ich wysłaniem, ale to zdecydowanie przerosło nasze oczekiwania.
Stwierdził również, że zagrożenie prywatności dla użytkowników polega na tym, że będą śledzeni jeszcze skuteczniej na stronach internetowych, sesjach, urządzeniach mobilnych i komputerach stacjonarnych.
Adres e-mail jest tak przydatnym identyfikatorem śledzenia, ponieważ jest globalny, unikalny i trwały. Nie można tego wyczyścić, ponieważ usuwasz pliki cookie. To bardzo potężny identyfikator.
Naukowcy planują zaprezentować swoje odkrycia na konferencji bezpieczeństwa Usenix w sierpniu.
Co sądzisz o wynikach badania? Daj znać w komentarzach.
Źródło: wired.com, home.esat.kuleuven.be/~asenol/leaky-forms/
Dodaj komentarz