Sommige top 100.000 websites verzamelen alles wat u typt — voordat u op verzenden drukt

Wanneer u zich aanmeldt voor een nieuwsbrief, een hotelreservering maakt of online uitcheckt, neemt u waarschijnlijk als vanzelfsprekend aan dat als u uw e-mailadres drie keer verkeerd typt of van gedachten verandert en X de pagina verlaat, het niet uitmaakt. Er gebeurt eigenlijk niets totdat je op de knop Verzenden drukt, toch? Nou, misschien niet. Zoals met zoveel aannames over internet, is dit niet altijd het geval, volgens nieuw onderzoek: Een verrassend aantal websites verzamelt sommige of al uw gegevens terwijl u deze in een digitaal formulier typt.

Onderzoekers van de KU Leuven, de Radboud Universiteit en de Universiteit van Lausanne hebben de top 100.000 websites doorzocht en geanalyseerd, waarbij ze naar scenario’s keken waarin een gebruiker een site bezoekt in de Europese Unie en een site uit de Verenigde Staten bezoekt. Ze ontdekten dat 1.844 websites het e-mailadres van een EU-gebruiker verzamelden zonder hun toestemming, en maar liefst 2.950 het e-mailadres van een Amerikaanse gebruiker in een of andere vorm. Veel van de sites zijn schijnbaar niet van plan om datalogging uit te voeren, maar bevatten marketing- en analyseservices van derden die het gedrag veroorzaken.

Na in mei 2021 specifiek sites te hebben gecrawld op wachtwoordlekken, vonden de onderzoekers ook 52 websites waarop derden, waaronder de Russische techgigant Yandex, incidenteel wachtwoordgegevens verzamelden voordat ze werden ingediend. De groep heeft hun bevindingen aan deze sites bekendgemaakt en alle 52 gevallen zijn sindsdien opgelost.

“Als er een knop Verzenden op een formulier staat, is de redelijke verwachting dat het iets doet – dat het uw gegevens verzendt wanneer u erop klikt”, zegt Güneş Acar, een professor en onderzoeker aan de digitale beveiligingsgroep van de Radboud Universiteit en een van de leiders van de studie. “We waren super verrast door deze resultaten. We dachten dat we misschien een paar honderd websites zouden vinden waar je e-mail wordt verzameld voordat je deze indient, maar dit overtrof onze verwachtingen veruit. ”

De onderzoekers, die zullen Cadeau hun bevindingen op de Usenix-beveiligingsconferentie in augustus, zeggen dat ze werden geïnspireerd om te onderzoeken wat zij “lekkende vormen” noemen door mediaberichten, bijzonder van Gizmodo, over derden die formuliergegevens verzamelen, ongeacht de indieningsstatus. Ze wijzen erop dat het gedrag in de kern vergelijkbaar is met zogenaamde keyloggers, die doorgaans kwaadaardige programma’s die alles logt wat een doel typt. Maar op een reguliere top-1.000-site zullen gebruikers waarschijnlijk niet verwachten dat hun informatie wordt gekeylogd. En in de praktijk zagen de onderzoekers enkele variaties op het gedrag. Sommige sites registreerden toetsaanslagen per toetsaanslag, maar veel sites haalden volledige inzendingen uit het ene veld wanneer gebruikers op het volgende klikten.

“In sommige gevallen, wanneer u op het volgende veld klikt, verzamelen ze het vorige, zoals u op het wachtwoordveld klikt en zij de e-mail verzamelen, of u klikt gewoon ergens en ze verzamelen onmiddellijk alle informatie”, zegt Asuman Senol, een privacy- en identiteitsonderzoeker aan de KU Leuven en een van de co-auteurs van het onderzoek: “We hadden niet verwacht dat we duizenden websites zouden vinden; en in de VS zijn de cijfers echt hoog, wat interessant is. ”

De onderzoekers zeggen dat de regionale verschillen te maken kunnen hebben met het feit dat bedrijven voorzichtiger zijn met het volgen van gebruikers, en mogelijk zelfs integreren met minder derde partijen, vanwege de Algemene Verordening Gegevensbescherming van de EU. Maar ze benadrukken dat dit slechts één mogelijkheid is, en de studie onderzocht geen verklaringen voor de ongelijkheid.

Door een substantiële inspanning om websites en derde partijen die op deze manier gegevens verzamelen op de hoogte te stellen, ontdekten de onderzoekers dat een verklaring voor een deel van de onverwachte gegevensverzameling te maken kan hebben met de uitdaging om een ​​”submit”-actie te onderscheiden van andere gebruikersacties op bepaalde web Pagina’s. Maar de onderzoekers benadrukken dat dit vanuit privacyperspectief geen afdoende rechtvaardiging is.

Sinds het voltooien van de papier, had de groep ook een ontdekking over Meta Pixel en TikTok Pixel, onzichtbare marketingtrackers die services op hun websites insluiten om gebruikers op internet te volgen en advertenties te tonen. Beiden beweerden in hun documentatie dat klanten “automatische geavanceerde matching” konden inschakelen, wat zou leiden tot gegevensverzameling wanneer een gebruiker een formulier indiende. In de praktijk ontdekten de onderzoekers echter dat deze trackingpixels gehashte e-mailadressen pakten, een verduisterde versie van e-mailadressen die worden gebruikt om internetgebruikers op verschillende platforms te identificeren, voordat ze worden ingediend. Voor gebruikers in de VS hebben 8.438 sites mogelijk gegevens gelekt naar Meta, het moederbedrijf van Facebook, via pixels, en 7.379 sites kunnen gevolgen hebben voor gebruikers in de EU. Voor TikTok Pixel vond de groep 154 ​​sites voor Amerikaanse gebruikers en 147 voor EU-gebruikers.

De onderzoekers dienden op 25 maart een bugrapport in bij Meta en het bedrijf wees snel een ingenieur aan de zaak toe, maar de groep heeft sindsdien geen update gehoord. De onderzoekers brachten TikTok op 21 april op de hoogte – ze ontdekten het TikTok-gedrag recenter – en hebben niets meer gehoord. Meta en TikTok hebben het verzoek van WIRED om commentaar op de bevindingen niet onmiddellijk teruggestuurd.

“De privacyrisico’s voor gebruikers zijn dat ze nog efficiënter worden gevolgd; ze kunnen worden gevolgd op verschillende websites, in verschillende sessies, op mobiel en desktop”, zegt Acar. “Een e-mailadres is zo’n handige identificatie voor tracking, omdat het wereldwijd, uniek en constant is. Je kunt het niet wissen zoals je je cookies wist. Het is een zeer krachtige identificatiecode.”

Acar wijst er ook op dat, aangezien technologiebedrijven tracking op basis van cookies willen uitfaseren in een knipoog naar privacykwesties, marketeers en andere analisten steeds meer zullen vertrouwen op statische ID’s zoals telefoonnummers en e-mailadressen.

Omdat de bevindingen aangeven dat het verwijderen van gegevens in een formulier voordat het wordt ingediend misschien niet voldoende is om jezelf te beschermen tegen alle verzamelingen, hebben de onderzoekers een Firefox-extensie genaamd LeakInspector om het verzamelen van frauduleuze formulieren te detecteren. En ze zeggen te hopen dat hun bevindingen het bewustzijn over het probleem zullen vergroten, niet alleen voor gewone internetgebruikers, maar ook voor website-ontwikkelaars en beheerders die proactief kunnen controleren of hun eigen systemen of een van de derde partijen die ze gebruiken, gegevens van formulieren verzamelen zonder toestemming.

Lekkende formulieren zijn slechts een ander type gegevensverzameling om op te letten in een toch al extreem druk online veld.

Dit verhaal verscheen oorspronkelijk op wired.com.

Leave a Comment