Μερικοί από τους 100.000 κορυφαίους ιστότοπους συλλέγουν όλα όσα πληκτρολογείτε—προτού πατήσετε Υποβολή
Mai 3, 2023
Ερευνητές από το KU Leuven, το Πανεπιστήμιο Radboud και το Πανεπιστήμιο της Λωζάνης ανίχνευσαν και ανέλυσαν τους 100.000 κορυφαίους ιστότοπους, εξετάζοντας σενάρια στα οποία ένας χρήστης επισκέπτεται έναν ιστότοπο ενώ βρίσκεται στην Ευρωπαϊκή Ένωση και επισκέπτεται έναν ιστότοπο από τις Ηνωμένες Πολιτείες. Διαπίστωσαν ότι 1.844 ιστότοποι συγκέντρωσαν τη διεύθυνση ηλεκτρονικού ταχυδρομείου ενός χρήστη της ΕΕ χωρίς τη συγκατάθεσή τους και ένα εντυπωσιακό 2.950 κατέγραψαν το email ενός χρήστη των ΗΠΑ με κάποια μορφή. Πολλοί από τους ιστότοπους φαίνεται ότι δεν σκοπεύουν να πραγματοποιήσουν την καταγραφή δεδομένων, αλλά ενσωματώνουν υπηρεσίες μάρκετινγκ και ανάλυσης τρίτων που προκαλούν τη συμπεριφορά.
Μετά από ειδικά ανίχνευση ιστοτόπων για διαρροές κωδικών πρόσβασης τον Μάιο του 2021, οι ερευνητές βρήκαν επίσης 52 ιστότοπους στους οποίους τρίτα μέρη, συμπεριλαμβανομένου του ρωσικού τεχνολογικού γίγαντα Yandex, συνέλεγαν τυχαία δεδομένα κωδικών πρόσβασης πριν από την υποβολή. Η ομάδα αποκάλυψε τα ευρήματά της σε αυτές τις τοποθεσίες και έκτοτε έχουν επιλυθεί και οι 52 περιπτώσεις.
«Εάν υπάρχει ένα κουμπί Υποβολή σε μια φόρμα, η εύλογη προσδοκία είναι ότι θα κάνει κάτι—ότι θα υποβάλει τα δεδομένα σας όταν κάνετε κλικ σε αυτήν», λέει ο Güneş Acar, καθηγητής και ερευνητής στην ομάδα ψηφιακής ασφάλειας του Πανεπιστημίου Radboud και ένας από τους ηγέτες. της μελέτης. «Μας εξέπληξαν αυτά τα αποτελέσματα. Σκεφτήκαμε ότι ίσως θα βρίσκαμε μερικές εκατοντάδες ιστοσελίδες όπου συλλέγεται το email σας προτού υποβάλετε, αλλά αυτό ξεπέρασε κατά πολύ τις προσδοκίες μας.»
Οι ερευνητές, που θα παρόν τα ευρήματά τους στο συνέδριο ασφαλείας του Usenix τον Αύγουστο, λένε ότι εμπνεύστηκαν να διερευνήσουν αυτό που αποκαλούν «διαρροές φόρμες» από αναφορές των μέσων ενημέρωσης, ιδιαίτερα από Gizmodo, σχετικά με τρίτα μέρη που συλλέγουν δεδομένα φόρμας ανεξάρτητα από την κατάσταση υποβολής. Επισημαίνουν ότι, στον πυρήνα της, η συμπεριφορά είναι παρόμοια με τα λεγόμενα keylogger, τα οποία είναι συνήθως κακόβουλα προγράμματα που καταγράφει όλα όσα γράφει ένας στόχος. Αλλά σε έναν κεντρικό ιστότοπο των 1.000 κορυφαίων, οι χρήστες πιθανότατα δεν θα περιμένουν να πληκτρολογήσουν τις πληροφορίες τους. Και στην πράξη, οι ερευνητές είδαν μερικές παραλλαγές της συμπεριφοράς. Ορισμένοι ιστότοποι καταγράφουν δεδομένα πληκτρολόγηση προς πάτημα πλήκτρων, αλλά πολλοί άρπαξαν πλήρεις υποβολές από ένα πεδίο όταν οι χρήστες έκαναν κλικ στο επόμενο.
«Σε ορισμένες περιπτώσεις, όταν κάνετε κλικ στο επόμενο πεδίο, συλλέγουν το προηγούμενο, όπως κάνετε κλικ στο πεδίο κωδικού πρόσβασης και συλλέγουν το email, ή απλώς κάνετε κλικ οπουδήποτε και συλλέγουν αμέσως όλες τις πληροφορίες», λέει ο Asuman Senol, υπεύθυνος προστασίας προσωπικών δεδομένων. και ερευνητής ταυτότητας στο KU Leuven και ένας από τους συν-συγγραφείς της μελέτης. «Δεν περιμέναμε να βρούμε χιλιάδες ιστότοπους. και στις ΗΠΑ, τα νούμερα είναι πραγματικά υψηλά, κάτι που είναι ενδιαφέρον».
Οι ερευνητές λένε ότι οι περιφερειακές διαφορές μπορεί να σχετίζονται με το γεγονός ότι οι εταιρείες είναι πιο προσεκτικές όσον αφορά την παρακολούθηση χρηστών και ακόμη και εν δυνάμει ενσωματώνονται με λιγότερα τρίτα μέρη, λόγω του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ. Αλλά τονίζουν ότι αυτή είναι μόνο μία πιθανότητα και η μελέτη δεν εξέτασε εξηγήσεις για την ανισότητα.
Μέσα από μια σημαντική προσπάθεια ειδοποίησης ιστοτόπων και τρίτων που συλλέγουν δεδομένα με αυτόν τον τρόπο, οι ερευνητές διαπίστωσαν ότι μια εξήγηση για ορισμένες από τις απροσδόκητες συλλογή δεδομένων μπορεί να έχει να κάνει με την πρόκληση της διαφοροποίησης μιας ενέργειας «υποβολής» από άλλες ενέργειες χρηστών σε συγκεκριμένο ιστό σελίδες. Αλλά οι ερευνητές τονίζουν ότι από την άποψη της ιδιωτικής ζωής, αυτό δεν αποτελεί επαρκή αιτιολόγηση.
Από την ολοκλήρωση του χαρτί, η ομάδα είχε επίσης μια ανακάλυψη σχετικά με το Meta Pixel και το TikTok Pixel, αόρατα προγράμματα παρακολούθησης μάρκετινγκ που οι υπηρεσίες ενσωματώνουν στους ιστότοπούς τους για να παρακολουθούν τους χρήστες στον ιστό και να τους δείχνουν διαφημίσεις. Και οι δύο ισχυρίστηκαν στην τεκμηρίωσή τους ότι οι πελάτες θα μπορούσαν να ενεργοποιήσουν την „αυτόματη σύνθετη αντιστοίχιση“, η οποία θα ενεργοποιούσε τη συλλογή δεδομένων όταν ένας χρήστης υπέβαλλε μια φόρμα. Στην πράξη, ωστόσο, οι ερευνητές διαπίστωσαν ότι αυτά τα εικονοστοιχεία παρακολούθησης άρπαζαν κατακερματισμένες διευθύνσεις email, μια συγκαλυμμένη έκδοση διευθύνσεων ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για την αναγνώριση χρηστών ιστού σε πλατφόρμες, πριν από την υποβολή. Για τους χρήστες των ΗΠΑ, 8.438 ιστότοποι ενδέχεται να διέρρευσαν δεδομένα στη Meta, τη μητρική εταιρεία του Facebook, μέσω pixel και 7.379 ιστότοποι ενδέχεται να επηρεαστούν για τους χρήστες της ΕΕ. Για το TikTok Pixel, η ομάδα βρήκε 154 ιστότοπους για χρήστες των ΗΠΑ και 147 για χρήστες της ΕΕ.
Οι ερευνητές υπέβαλαν μια αναφορά σφάλματος στη Meta στις 25 Μαρτίου και η εταιρεία ανέθεσε γρήγορα έναν μηχανικό στην υπόθεση, αλλά η ομάδα δεν άκουσε καμία ενημέρωση από τότε. Οι ερευνητές ειδοποίησαν το TikTok στις 21 Απριλίου – ανακάλυψαν τη συμπεριφορά του TikTok πιο πρόσφατα – και δεν έχουν λάβει απάντηση. Η Meta και η TikTok δεν απάντησαν αμέσως το αίτημα του WIRED για σχολιασμό σχετικά με τα ευρήματα.
«Οι κίνδυνοι απορρήτου για τους χρήστες είναι ότι θα παρακολουθούνται ακόμη πιο αποτελεσματικά. μπορούν να παρακολουθούνται σε διαφορετικούς ιστότοπους, σε διαφορετικές περιόδους σύνδεσης, σε κινητά και επιτραπέζιους υπολογιστές», λέει ο Acar. «Μια διεύθυνση email είναι ένα τόσο χρήσιμο αναγνωριστικό για την παρακολούθηση, επειδή είναι παγκόσμια, μοναδική, σταθερή. Δεν μπορείτε να το διαγράψετε όπως διαγράφετε τα cookie σας. Είναι ένα πολύ ισχυρό αναγνωριστικό.”
Ο Acar επισημαίνει επίσης ότι, καθώς οι εταιρείες τεχνολογίας προσπαθούν να καταργήσουν σταδιακά την παρακολούθηση που βασίζεται σε cookie, ενόψει ανησυχιών για το απόρρητο, οι έμποροι και άλλοι αναλυτές θα βασίζονται όλο και περισσότερο σε στατικά αναγνωριστικά όπως αριθμούς τηλεφώνου και διευθύνσεις email.
Δεδομένου ότι τα ευρήματα υποδεικνύουν ότι η διαγραφή δεδομένων σε μια φόρμα πριν από την υποβολή τους μπορεί να μην είναι αρκετή για να προστατευτείτε από κάθε συλλογή, οι ερευνητές δημιούργησαν ένα Επέκταση Firefox που ονομάζεται LeakInspector για να ανιχνεύσει τη συλλογή αδίστακτων φορμών. Και λένε ότι ελπίζουν ότι τα ευρήματά τους θα αυξήσουν την ευαισθητοποίηση σχετικά με το ζήτημα, όχι μόνο για τους τακτικούς χρήστες ιστού, αλλά και για τους προγραμματιστές και τους διαχειριστές ιστότοπων που μπορούν προληπτικά να ελέγξουν εάν τα δικά τους συστήματα ή οποιοδήποτε από τα τρίτα μέρη που χρησιμοποιούν συλλέγουν δεδομένα από φόρμες χωρίς συγκατάθεση.
Οι φόρμες που διαρρέουν είναι απλώς ένας ακόμη τύπος συλλογής δεδομένων που πρέπει να είστε προσεκτικοί σε ένα ήδη εξαιρετικά γεμάτο διαδικτυακό πεδίο.
Αυτή η ιστορία εμφανίστηκε αρχικά στο wired.com.
Αυτό είναι μάλλον σοκαριστικό, αλλά τώρα είναι απολύτως λογικό ότι όταν άλλαξα γνώμη στη μέση της αγοράς πρόσφατα, η εταιρεία μου έστελνε συνέχεια υπενθυμίσεις ότι δεν ολοκλήρωσα την πληρωμή μου. Πρέπει να είμαστε πολύ πιο ενήμεροι για το τι κάνουμε στο διαδίκτυο. Αυτές οι μεγάλες εταιρείες έχουν τους ειδικούς σε ετοιμότητα για να βρουν όλους τους τρόπους και τα μέσα. Αυτή είναι απλώς μια άλλη υπενθύμιση για να είμαστε προσεκτικοί.
Ιούνιος
