כשאתה נרשם לניוזלטר, מבצע הזמנה במלון או צ'ק אאוט באינטרנט, אתה כנראה לוקח כמובן מאליו שאם אתה מקליד לא נכון את כתובת הדוא"ל שלך שלוש פעמים או משנה את דעתך ו-X מחוץ לדף, זה לא משנה. שום דבר לא קורה עד שאתה לוחץ על כפתור שלח, נכון? טוב, אולי לא. כמו בכל כך הרבה הנחות לגבי האינטרנט, זה לא תמיד המקרה, לפי מחקר חדש: מספר מפתיע של אתרים אוספים חלק מהנתונים שלך או את כולם בזמן שאתה מקליד אותם בטופס דיגיטלי.
חוקרים מ-KU Leuven, אוניברסיטת Radboud ואוניברסיטת לוזאן סרקו וניתחו את 100,000 האתרים המובילים, מסתכלים על תרחישים שבהם משתמש מבקר באתר בזמן שהותו באיחוד האירופי ומבקר באתר מארצות הברית מדינות. הם גילו ש-1,844 אתרי אינטרנט אספו כתובת אימייל של משתמש באיחוד האירופי ללא הסכמתו, ו-2,950 מדהימים רשמו אימייל של משתמש אמריקאי בצורה כלשהי. רבים מהאתרים לכאורה אינם מתכוונים לבצע את רישום הנתונים אלא משלבים שירותי שיווק וניתוח של צד שלישי הגורמים להתנהגות.
לאחר סריקת אתרים ספציפית לאיתור דליפות סיסמאות במאי 2021, החוקרים מצאו גם 52 אתרים שבהם צדדים שלישיים, כולל ענקית הטכנולוגיה הרוסית Yandex, אגב, אספו בעבר נתוני סיסמאות כניעה. הקבוצה חשפה את ממצאיה לאתרים אלה, וכל 52 המקרים נפתרו מאז.
"אם יש כפתור שלח בטופס, הציפייה הסבירה היא שהוא יעשה משהו - שהוא ישלח את הנתונים שלך כאשר אתה לחץ עליו", אומר Güneş Acar, פרופסור וחוקר בקבוצת האבטחה הדיגיטלית של אוניברסיטת Radboud ואחד ממנהיגי לימוד. "הופתענו מאוד מהתוצאות האלה. חשבנו שאולי אנחנו הולכים למצוא כמה מאות אתרים שבהם האימייל שלך נאסף לפני שאתה שולח, אבל זה עלה בהרבה על הציפיות שלנו."
החוקרים, שירצו מתנה הממצאים שלהם בכנס האבטחה של Usenix באוגוסט, אומרים שהם קיבלו השראה לחקור את מה שהם מכנים "טפסים דולפים" על ידי דיווחים בתקשורת, בִּמְיוּחָד מ גיזמודו, על צדדים שלישיים האוספים נתוני טופס ללא קשר לסטטוס ההגשה. הם מציינים שבבסיסה, ההתנהגות דומה למה שנקרא keyloggers, שהם בדרך כלל תוכניות זדוניות שמתעדים כל מה שמקליד יעד. אבל באתר מיינסטרים מוביל 1,000, סביר להניח שהמשתמשים לא יצפו שהמידע שלהם יירשם במקלדת. ובפועל, החוקרים ראו כמה וריאציות של ההתנהגות. חלק מהאתרים רשמו הקשות אחר הקשות, אך רבים תפסו הגשות שלמות משדה אחד כאשר משתמשים לחצו לשדה הבא.
"במקרים מסוימים, כאשר אתה לוחץ על השדה הבא, הם אוספים את השדה הקודם, כמו שאתה לוחץ על שדה הסיסמה והם אוספים את האימייל, או שאתה פשוט לוחץ בכל מקום והם אוספים את כל המידע באופן מיידי", אומר Asuman Senol, חוקר פרטיות וזהות ב-KU Leuven ואחד ממחברי המחקר. "לא ציפינו למצוא אלפי אתרים; ובארה"ב, המספרים ממש גבוהים, וזה מעניין".
החוקרים אומרים שההבדלים האזוריים עשויים להיות קשורים לכך שחברות זהירות יותר לגבי המשתמשים מעקב, ואפילו שילוב פוטנציאלי עם פחות צדדים שלישיים, בגלל הגנת הנתונים הכללית של האיחוד האירופי תַקָנָה. אבל הם מדגישים שזו רק אפשרות אחת, והמחקר לא בדק הסברים לפער.
באמצעות מאמץ משמעותי להודיע לאתרים ולצדדים שלישיים האוספים נתונים בדרך זו, החוקרים מצאו כי הסבר אחד לחלק של איסוף הנתונים הבלתי צפוי עשוי להיות קשור לאתגר להבדיל בין פעולת "שלח" מפעולות משתמש אחרות באינטרנט מסוים דפים. אבל החוקרים מדגישים שמבחינת פרטיות, אין זו הצדקה מספקת.
מאז השלמת ה עיתון, לקבוצה הייתה גם תגלית על Meta Pixel ו-TikTok Pixel, עוקבים שיווקיים בלתי נראים ששירותים מטמיעים באתרים שלהם כדי לעקוב אחר משתמשים ברחבי האינטרנט ולהציג להם מודעות. שניהם טענו בתיעוד שלהם שלקוחות יכולים להפעיל "התאמה מתקדמת אוטומטית", שתפעיל איסוף נתונים כאשר משתמש שלח טופס. אולם בפועל, החוקרים גילו שפיקסלים למעקב אלו תפסו אימייל גיבוב כתובות, גרסה סמויה של כתובות דוא"ל ששימשה לזיהוי משתמשי אינטרנט בפלטפורמות, בעבר כניעה. עבור משתמשים בארה"ב, ייתכן ש-8,438 אתרים הדליפו נתונים ל-Meta, חברת האם של פייסבוק, באמצעות פיקסלים, ו-7,379 אתרים עשויים להיות מושפעים עבור משתמשי האיחוד האירופי. עבור TikTok Pixel, הקבוצה מצאה 154 אתרים למשתמשים בארה"ב ו-147 למשתמשים באיחוד האירופי.
החוקרים הגישו דוח באג למטא ב-25 במרץ, והחברה הקצתה במהירות מהנדס למקרה, אך הקבוצה לא שמעה עדכון מאז. החוקרים הודיעו ל-TikTok ב-21 באפריל - הם גילו את התנהגות ה-TikTok לאחרונה - ולא שמעו בחזרה. Meta ו-TikTok לא החזירו מיד את הבקשה של WIRED להגיב על הממצאים.
"סיכוני הפרטיות עבור המשתמשים הם שהמעקב אחריהם יהיה אפילו יותר יעיל; ניתן לעקוב אחריהם באתרי אינטרנט שונים, בהפעלות שונות, במובייל ובשולחן העבודה", אומר Acar. "כתובת דוא"ל היא מזהה שימושי כל כך למעקב, מכיוון שהיא גלובלית, היא ייחודית, היא קבועה. אתה לא יכול לנקות את זה כמו שאתה מנקה את העוגיות שלך. זה מזהה חזק מאוד."
Acar גם מציינת שכאשר חברות טכנולוגיה מעוניינות לבטל את השלב של מעקב מבוסס קובצי cookie מתוך קריצה לפרטיות דאגות, משווקים ואנליסטים אחרים יסתמכו יותר ויותר על מזהים סטטיים כמו מספרי טלפון ואימייל כתובות.
מכיוון שהממצאים מצביעים על כך שמחיקת נתונים בטופס לפני שליחתם עשויה שלא להספיק כדי להגן על עצמך מכל איסוף, החוקרים יצרו סיומת פיירפוקס קרא LeakInspector כדי לזהות איסוף טפסים סוררים. והם אומרים שהם מקווים שהממצאים שלהם יעלו את המודעות לנושא, לא רק עבור משתמשי אינטרנט רגילים אלא עבור מפתחי אתרים ו מנהלי מערכת שיכולים לבדוק באופן יזום אם המערכות שלהם או כל אחד מהצדדים השלישיים שבהם הם משתמשים אוספים נתונים מטפסים ללא הַסכָּמָה.
טפסים דולפים הם רק סוג נוסף של איסוף נתונים שיש להיזהר ממנו בתחום מקוון צפוף מאוד.
הסיפור הזה הופיע במקור ב wired.com.
