Μερικοί από τους 100.000 κορυφαίους ιστότοπους συλλέγουν όλα όσα πληκτρολογείτε — προτού πατήσετε Υποβολή

Όταν εγγράφεστε για ένα ενημερωτικό δελτίο, κάνετε κράτηση ξενοδοχείου ή κάνετε check out στο διαδίκτυο, το πιθανότερο είναι ότι αν πληκτρολογήσετε λάθος τη διεύθυνση email σας τρεις φορές ή αλλάξετε γνώμη και το Χ είναι εκτός σελίδας, δεν έχει σημασία. Στην πραγματικότητα τίποτα δεν συμβαίνει μέχρι να πατήσετε το κουμπί υποβολής, σωστά; Λοιπόν, ίσως όχι. Όπως συμβαίνει με πολλές υποθέσεις για τον Ιστό, αυτό δεν συμβαίνει πάντα, σύμφωνα με νέα αναζήτησηΈνας εκπληκτικός αριθμός ιστότοπων συλλέγει μερικά ή όλα τα δεδομένα σας καθώς τα πληκτρολογείτε σε ψηφιακή μορφή.

Ερευνητές από το KU Leuven, το Πανεπιστήμιο Radboud και το Πανεπιστήμιο της Λωζάνης ανίχνευσαν και ανέλυσαν τους 100.000 κορυφαίους ιστότοπους, ερευνώντας σενάρια στα οποία ένας χρήστης επισκέπτεται έναν ιστότοπο ενώ βρίσκεται στην Ευρωπαϊκή Ένωση και επισκέπτεται έναν ιστότοπο από τις Ηνωμένες Πολιτείες. Διαπίστωσαν ότι 1.844 ιστότοποι συνέλεξαν τη διεύθυνση ηλεκτρονικού ταχυδρομείου ενός χρήστη της ΕΕ χωρίς τη συγκατάθεσή τους και 2.950 ιστότοποι κατέγραψαν το email ενός χρήστη των ΗΠΑ με κάποια μορφή. Φαίνεται ότι πολλοί ιστότοποι δεν σκοπεύουν να πραγματοποιήσουν καταγραφή δεδομένων, αλλά περιλαμβάνουν υπηρεσίες μάρκετινγκ και ανάλυσης τρίτων που προκαλούν αυτήν τη συμπεριφορά.

Μετά από ειδικά ανίχνευση ιστοτόπων που αναζητούσαν διαρροές κωδικών πρόσβασης τον Μάιο του 2021, οι ερευνητές βρήκαν επίσης 52 ιστότοπους όπου τρίτα μέρη, συμπεριλαμβανομένου του ρωσικού τεχνολογικού γίγαντα Yandex, συλλέγουν παρεμπιπτόντως δεδομένα κωδικών πρόσβασης πριν υποβληθούν. Η ομάδα αποκάλυψε τα ευρήματά της σε αυτές τις τοποθεσίες και έκτοτε έχουν επιλυθεί και οι 52 υποθέσεις.

Ο Gunesh Akar, καθηγητής και ερευνητής στην Ομάδα Ψηφιακής Ασφάλειας του Πανεπιστημίου Radboud και ένας από τους επικεφαλής της μελέτης, λέει. “Μας εξέπληξαν αυτά τα αποτελέσματα. Σκεφτήκαμε ότι θα βρίσκαμε πιθανώς μερικές εκατοντάδες ιστότοπους όπου συλλέγονται τα email σας πριν από την αποστολή, αλλά αυτό ξεπέρασε κατά πολύ τις προσδοκίες μας.”

Ερευνητές που θα Παρόν Τα ευρήματά τους στο συνέδριο ασφαλείας του Usenix τον Αύγουστο, αναφέρουν ότι εμπνεύστηκαν από τη διερεύνηση αυτού που αποκαλούν «διέρρευσαν έντυπα» μέσω αναφορών των μέσων ενημέρωσης, ειδικά από GizmodoΚαι Σχετικά με τα τρίτα μέρη που συλλέγουν δεδομένα φόρμας ανεξάρτητα από την κατάσταση υποβολής. Επισημαίνουν ότι η συμπεριφορά είναι, στην ουσία, παρόμοια με τα λεγόμενα keylogger, τα οποία είναι συνήθως Κακόβουλο λογισμικό Αυτό καταγράφει τα πάντα ταξινομεί τον στόχο. Αλλά σε έναν σημαντικό ιστότοπο μεταξύ των 1000 κορυφαίων, οι χρήστες πιθανότατα δεν θα περίμεναν ότι οι πληροφορίες τους θα καταγραφούν χρησιμοποιώντας ένα πληκτρολόγιο. Στην πράξη, οι ερευνητές είδαν κάποιες διαφορές στη συμπεριφορά. Ορισμένοι ιστότοποι κατέγραψαν πατήματα δεδομένων με ένα πάτημα κουμπιού, αλλά πολλοί ιστότοποι κατέγραψαν πλήρεις υποβολές από ένα πεδίο όταν οι χρήστες έκαναν κλικ στο επόμενο.

Λέει ο Asuman Senol, ερευνητής απορρήτου και ταυτότητας στο KU Leuven και ένας από τους συν-συγγραφείς της μελέτης. «Δεν περιμέναμε να βρούμε χιλιάδες ιστότοπους και στις ΗΠΑ, οι αριθμοί είναι πραγματικά υψηλοί, κάτι που είναι ενδιαφέρον».

Οι ερευνητές λένε ότι οι περιφερειακές διαφορές μπορεί να σχετίζονται με τις εταιρείες που είναι πιο προσεκτικές όσον αφορά την παρακολούθηση των χρηστών και πιθανώς ακόμη και τη συγχώνευση με λιγότερα τρίτα μέρη, λόγω του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ. Αλλά τόνισαν ότι αυτή είναι μόνο μία πιθανότητα και η μελέτη δεν εξέτασε εξηγήσεις για αυτήν την ανισότητα.

Μέσα από μια σημαντική προσπάθεια ειδοποίησης ιστοτόπων και τρίτων που συλλέγουν δεδομένα με αυτόν τον τρόπο, οι ερευνητές ανακάλυψαν ότι μια εξήγηση για κάποια απροσδόκητη συλλογή δεδομένων μπορεί να έχει να κάνει με την πρόκληση της διάκρισης μιας ενέργειας “υποβολή” από άλλες ενέργειες χρηστών σε ορισμένες ιστοσελίδες . Αλλά οι ερευνητές τονίζουν ότι από την άποψη της ιδιωτικής ζωής, αυτό δεν είναι η κατάλληλη αιτιολόγηση.

Αφού τελείωσε χαρτίΗ ομάδα είχε επίσης μια ανακάλυψη σχετικά με το Meta Pixel και το TikTok Pixel, αόρατα προγράμματα παρακολούθησης μάρκετινγκ που είναι ενσωματωμένα στους ιστότοπούς τους για να παρακολουθούν τους χρήστες στον ιστό και να τους δείχνουν διαφημίσεις. Και οι δύο ισχυρίστηκαν στην τεκμηρίωσή τους ότι οι πελάτες μπορούσαν να ενεργοποιήσουν την “αυτόματη σύνθετη αντιστοίχιση”, η οποία θα είχε ως αποτέλεσμα τη συλλογή δεδομένων όταν ένας χρήστης υποβάλλει μια φόρμα. Στην πράξη, οι ερευνητές διαπίστωσαν ότι αυτά τα εικονοστοιχεία παρακολούθησης καταγράφουν κατακερματισμένες διευθύνσεις email, μια συγκεχυμένη έκδοση διευθύνσεων ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για την αναγνώριση χρηστών ιστού σε όλες τις πλατφόρμες, πριν από την αποστολή. Για τους χρήστες των ΗΠΑ, 8.438 ιστότοποι ενδέχεται να διέρρευσαν δεδομένα στη Meta, τη μητρική εταιρεία του Facebook, μέσω pixel και 7.379 χρήστες της ΕΕ ενδέχεται να επηρεαστούν. Για το TikTok Pixel, η ομάδα βρήκε 154 τοποθεσίες για χρήστες στις ΗΠΑ και 147 για χρήστες της ΕΕ.

Οι ερευνητές υπέβαλαν μια αναφορά σφάλματος στο Meta στις 25 Μαρτίου και η εταιρεία προσέλαβε γρήγορα έναν μηχανικό για την υπόθεση, αλλά η ομάδα δεν έχει λάβει καμία ενημέρωση από τότε. Ερευνητές ανέφεραν στο TikTok στις 21 Απριλίου – ανακάλυψαν τη συμπεριφορά του TikTok πρόσφατα – και δεν έλαβαν καμία απάντηση. Η Meta και το TikTok δεν απάντησαν αμέσως στο αίτημα του WIRED για σχολιασμό των ευρημάτων.

«Ο κίνδυνος απορρήτου για τους χρήστες είναι ότι θα παρακολουθούνται πιο αποτελεσματικά· μπορούν να παρακολουθούνται σε διαφορετικούς ιστότοπους, σε διαφορετικές περιόδους λειτουργίας, σε κινητά και επιτραπέζιους υπολογιστές», λέει ο Akar. “Μια διεύθυνση email είναι ένα χρήσιμο αναγνωριστικό για την παρακολούθηση, επειδή είναι καθολικό, μοναδικό και αμετάβλητο. Δεν μπορείτε να το διαγράψετε σαν να καθαρίζατε τα cookie σας. Είναι ένα πολύ ισχυρό αναγνωριστικό.”

Ο Acar σημειώνει επίσης ότι καθώς οι εταιρείες τεχνολογίας προσπαθούν να καταργήσουν σταδιακά την παρακολούθηση που βασίζεται σε cookie σε σχέση με ζητήματα απορρήτου, άλλοι έμποροι και αναλυτές θα βασίζονται περισσότερο σε μόνιμα αναγνωριστικά, όπως αριθμούς τηλεφώνου και διευθύνσεις email.

Δεδομένου ότι τα αποτελέσματα υποδηλώνουν ότι η διαγραφή δεδομένων σε μια φόρμα πριν την αποστολή τους μπορεί να μην είναι αρκετή για να προστατευτείτε από όλες τις ομάδες, οι ερευνητές δημιούργησαν Πρόσθετο Firefox Το LeakInspector καλείται να ανακαλύψει τη συλλογή απατεώνων μοντέλων. Λένε ότι ελπίζουν ότι τα ευρήματά τους θα ευαισθητοποιήσουν για το πρόβλημα, όχι μόνο για τους τακτικούς χρήστες ιστού, αλλά και για τους προγραμματιστές και τους διαχειριστές ιστότοπων που μπορούν να ελέγχουν προληπτικά εάν τα δικά τους συστήματα ή κάποιο από τα τρίτα μέρη που χρησιμοποιούν συλλέγουν δεδομένα από φόρμες χωρίς συγκατάθεση.

Οι φόρμες που διέρρευσαν είναι απλώς ένας άλλος τύπος συλλογής δεδομένων που πρέπει να είστε προσεκτικοί σε ένα ήδη πολύ γεμάτο κόσμο του Διαδικτύου.

Αυτή η ιστορία εμφανίστηκε αρχικά wired.com.

READ  Η TCL παρουσίασε τηλεόραση 8Κ, τεχνολογία Mini LED, τηλεοράσεις Google και πολλά άλλα στην εκδήλωση - Technology News, Firstpost

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.