Tysiące stron wiedzą, co wypisujesz w formularzach online, nawet jeśli ich nie wyślesz

Ktoś zawsze obserwuje

Badacze przeanalizowali 100 000 najpopularniejszych witryn i przyjrzeli się różnym scenariuszom – porównali przykładowo działania stron odwiedzanych przez użytkowników podczas pobytu w UE oraz USA.

Odkryli oni, że 1844 portali gromadziło adresy e-mail przed przesłaniem formularzy i wyrażeniem na to zgody wśród użytkowników z UE. W przypadku Stanów Zjednoczonych było to 2950. Ponoć wiele z nich zawiera oprogramowanie marketingowe i analityczne innych firm, które automatycznie zbiera te informacje.

 Co ciekawe, naukowcy odkryli również przypadkowe zbieranie haseł na 52 stron internetowych przez zewnętrzne skrypty odtwarzania sesji. Grupa ujawniła swoje odkrycia na tych witrynach, a wszystkie 52 przypadki zostały ponoć rozwiązane.

Z badania wynika, że witryny stosowały różne zachowania w celu zbierania danych. Niektóre z nich rejestrowały naciśnięcia klawisza, podczas gdy inne pobierały kompletne zgłoszenia z jednego pola, gdy użytkownicy klikali następne.

Asuman Senol, badacz prywatności i tożsamości z KU Leuven i jeden ze współautorów badania, skomentował:

W niektórych przypadkach, gdy klikniesz następne pole, zbierają poprzednie, tak jak klikasz pole hasła i zbierają wiadomość e-mail, lub po prostu klikasz w dowolnym miejscu i natychmiast zbierają wszystkie informacje. Nie spodziewaliśmy się, że znajdziemy tysiące stron internetowych; a w USA liczby są naprawdę wysokie, co jest interesujące.

Naukowcy w toku dochodzenia odkryli też, że Meta (dawniej Facebook) oraz TikTok zbierają zaszyfrowane dane osobowe z formularzy internetowych, nawet jeśli użytkownik nie zdecyduje się na przesłanie formularza.

Będziemy śledzeni jeszcze skuteczniej

Jak podkreśla Güneş Acar, profesor i badacz w grupie zajmującej się bezpieczeństwem cyfrowym Uniwersytetu Radboud i jeden z liderów badania:

Jeśli w formularzu znajduje się przycisk >>Prześlij<<, uzasadnione jest oczekiwanie, że coś zrobi — że prześle Twoje dane po kliknięciu. Byliśmy bardzo zaskoczeni tymi wynikami. Pomyśleliśmy, że może uda nam się znaleźć kilkaset witryn internetowych, na których zbierane są Twoje wiadomości e-mail, zanim je prześlesz, ale zdecydowanie przekroczyło to nasze oczekiwania.

Stwierdził ponadto, iż zagrożenie prywatności dla użytkowników polega na tym, że będą śledzeni jeszcze skuteczniej, na różnych stronach internetowych, w różnych sesjach, na urządzeniach mobilnych i komputerach stacjonarnych.

Adres e-mail jest tak przydatnym identyfikatorem do śledzenia, ponieważ jest globalny, unikalny, stały. Nie można tego wyczyścić tak, jak usuwasz pliki cookie. To bardzo potężny identyfikator.

Badacze planują zaprezentować swoje odkrycia na konferencji dotyczącej bezpieczeństwa – Usenix w sierpniu.

Co sądzicie o wynikach badań? Dajcie znać w komentarzach.

Źródło: wired.com, homes.esat.kuleuven.be/~asenol/leaky-forms/