En iyi 100.000 web sitesi yazdığınız her şeyi toplar – gönder düğmesine basmadan önce

En iyi 100.000 web sitesi yazdığınız her şeyi toplar - gönder düğmesine basmadan önce

Bir haber bültenine kaydolduğunuzda, bir otel rezervasyonu yaptığınızda veya çevrimiçi olarak çıkış yaptığınızda, muhtemelen e-posta adresinizi üç kez yanlış yazmanızın veya fikrinizi değiştirip Sayfa X’ten ayrılmanızın önemli olmadığını varsayıyorsunuz. Gönder düğmesini tıklatana kadar hiçbir şey olmuyor, değil mi? Belki değil. İnternetle ilgili pek çok varsayımda olduğu gibi, yeni araştırmaya göre durum her zaman böyle olmuyor: Şaşırtıcı sayıda web sitesi, siz verilerinizi dijital bir forma girerken verilerinizin bir kısmını veya tamamını topluyor.

KU Leuven, Radboud Üniversitesi ve Lozan Üniversitesi’nden araştırmacılar, en iyi 100.000 web sitesini araştırdı ve analiz etti ve bir kullanıcının Avrupa Birliği’ndeyken bir web sitesini ve Amerika Birleşik Devletleri’nden bir web sitesini ziyaret ettiği senaryoları inceledi. 1.844 web sitesinin bir AB kullanıcısının e-posta adresini rızası olmadan topladığını ve şaşırtıcı bir şekilde 2.950’nin bir ABD kullanıcısının e-postasını bir şekilde kaydettiğini buldular. Web sitelerinin çoğu, veri kaydı gerçekleştirme niyetinde görünmüyor, bunun yerine davranışa neden olan üçüncü taraf pazarlama ve analitik hizmetlerini entegre ediyor.

Mayıs 2021’de web sitelerini özellikle şifre sızıntıları için taradıktan sonra araştırmacılar, Rus teknoloji devi Yandex de dahil olmak üzere üçüncü tarafların, göndermeden önce rastgele şifre verilerini topladığı 52 web sitesi buldu. Grup bulgularını bu web siteleriyle paylaştı ve o zamandan beri 52 vakanın tümü çözüldü.

Radboud Üniversitesi Dijital Güvenlik Grubu’nda profesör ve araştırmacı olan Güneş Acar, “Bir formda bir gönder düğmesi varsa, makul beklenti, bir şey yapmasıdır – tıkladığınızda verilerinizi göndermesidir” diyor. çalışmanın liderlerinden biridir. “Bu sonuçlara çok şaşırdık. Siz göndermeden önce e-postalarınızı toplayan birkaç yüz web sitesi bulabileceğimizi düşündük, ancak bu beklentilerimizi çok aştı.

Ağustos ayındaki Usenix güvenlik konferansında bulgularını sunacak olan araştırmacılar, özellikle Gizmodo’dan gelen medya raporlarından “sızdıran formlar” dedikleri şeyi araştırmak için ilham aldıklarını söylediler., Gönderim durumundan bağımsız olarak form verilerini toplayan üçüncü taraflar aracılığıyla. Özünde, davranışın, tipik olarak her şeyi bir hedef türü türünde kaydeden kötü amaçlı programlar olan keylogger olarak bilinenlere benzer olduğuna dikkat çekiyorlar. Ancak, ana akım ilk 1000 sitede, kullanıcılar muhtemelen bilgilerinin keylog’a kaydedilmesini beklemiyorlar. Ve uygulamada, araştırmacılar davranışta bazı farklılıklar gördüler. Bazı siteler, tuşa basıldıktan sonra tuşa basma verilerini kaydetti, ancak çoğu, kullanıcılar bir sonraki alana tıkladığında bir alandan tam gönderimleri aldı.

Asuman Şenol, “Bazı durumlarda, bir sonraki alana tıkladığınızda, şifre alanına tıkladığınız gibi bir öncekini toplarlar ve e-postayı toplarlar veya herhangi bir yeri tıkladığınızda hemen tüm bilgileri toplarlar” diyor. KU Leuven’de koruma görevlisi ve kimlik araştırmacısı ve çalışmanın ortak yazarlarından biri.” Binlerce web sitesi bulmayı beklemiyorduk; ve ABD’de rakamlar gerçekten çok yüksek, bu da ilginç.”

Araştırmacılar, bölgesel farklılıkların, şirketlerin AB’nin Genel Veri Koruma Yönetmeliği nedeniyle kullanıcı takibi konusunda daha temkinli olmalarından ve hatta muhtemelen daha az üçüncü taraf sağlayıcıyı entegre etmelerinden kaynaklanabileceğini söylüyor. Ancak bunun yalnızca bir olasılık olduğunu vurguluyorlar ve çalışmanın farklılıklar için açıklamaları incelemediğini belirtiyorlar.

Bu şekilde veri toplayan web sitelerini ve üçüncü şahısları bilgilendirmek için yoğun çabalar harcayarak, araştırmacılar, bazı beklenmedik veri toplamalarının bir açıklamasının, belirli Sitelerdeki diğer kullanıcı eylemlerinden bir “gönderme” eylemini ayırt etme zorluğuyla ilgili olabileceğini buldular. sayfaları ayırt eder. Ancak araştırmacılar bunun mahremiyet açısından yeterli bir gerekçe olmadığını vurgulamaktadır.

Makalenin tamamlanmasından bu yana grup, web üzerindeki kullanıcıları izlemek ve onlara reklam göstermek için web sitelerine hizmetler yerleştiren görünmez pazarlama izleyicileri Meta Pixel ve TikTok Pixel hakkında da bir keşif yaptı. Her ikisi de belgelerinde, müşterilerin bir kullanıcı bir form gönderdiğinde veri toplamayı tetikleyen “otomatik gelişmiş eşleştirme”yi etkinleştirebileceklerini iddia etti. Ancak pratikte, araştırmacılar, bu izleme piksellerinin teslimattan önce karma e-posta adreslerini yakaladığını buldu; bu, platformlar arasında web kullanıcılarını tanımlamak için kullanılan e-posta adreslerinin karmaşık bir versiyonudur. ABD kullanıcıları için 8.438 web sitesi, Facebook’un ana şirketi Meta ile pikseller aracılığıyla veri paylaşmış olabilir ve AB kullanıcıları için 7.379 web sitesi etkilenebilir. Grup, TikTok Pixel için ABD kullanıcıları için 154 ve AB kullanıcıları için 147 site buldu.

Araştırmacılar 25 Mart’ta Meta’ya bir hata raporu sundular ve şirket olaya çabucak bir mühendis atadı, ancak grup o zamandan beri bir güncelleme duymadı. TikTok araştırmacıları onları 21 Nisan’da bilgilendirdi – TikTok davranışını daha yeni keşfettiler – ve hiçbir yanıt almadılar. Meta ve TikTok, WIRED’in sonuçlarla ilgili yorum talebine hemen yanıt vermedi.

“Kullanıcılar için gizlilik riskleri, daha verimli bir şekilde takip edilmeleri; Farklı web sitelerinde, farklı oturumlarda, mobil ve masaüstünde izlenebilirler” diyor Acar. “Bir e-posta adresi, küresel, benzersiz ve sabit olduğu için izleme için çok yararlı bir tanımlayıcıdır. Çerezlerinizi sildiğiniz gibi silemezsiniz. Bu çok güçlü bir tanımlayıcı.”

Acar ayrıca, teknoloji şirketleri gizlilik nedenleriyle çerez tabanlı izlemeyi aşamalı olarak kaldırmaya çalıştıkça, pazarlamacıların ve diğer analistlerin telefon numaraları ve e-posta adresleri gibi statik kimliklere giderek daha fazla güveneceğini belirtiyor.

Sonuçlar, bir formdaki verileri göndermeden önce silmenin herhangi bir koleksiyona karşı koruma sağlamak için yeterli olmayabileceğini gösterdiğinden, araştırmacılar sahte formların toplandığını tespit etmek için LeakInspector adlı bir Firefox uzantısı geliştirdiler. Ve bulgularının, yalnızca normal web kullanıcıları için değil, aynı zamanda kendi sistemlerinin veya kullandıkları üçüncü taraf sağlayıcıların formlardan veri toplayıp toplamadığını proaktif olarak kontrol edebilen web sitesi geliştiricileri ve yöneticileri için de konuyla ilgili farkındalığı artıracağını umuyorlar. onay almadan

Sızdıran formlar, zaten son derece kalabalık bir çevrimiçi alanda dikkatli olunması gereken başka bir veri toplama türüdür.

Bu hikaye başlangıçta kablolu.com’da yayınlandı.