Многие из 100 тыс. популярных сайтов собирают данные из ещё не отправленных пользователями веб-форм

Университет Неймегена совместно с Лозаннским университетом провели исследование, согласно результатам которого многие из 100 тыс. наиболее популярных сайтов в глобальной сети собирают данные из веб-форм до того, как заполнивший их пользователь нажмёт кнопку «Отправить». И делается это без ведома последнего.

Источник изображения: hitesh0141/pixabay.com

Выяснилось, что многие сайты собирают персональные данные, включая адреса электронной почты пользователей, при помощи интегрированных сторонних трекеров, используемых в рекламных и маркетинговых целях. Университеты исследовали в автоматическом режиме поведение 100 тыс. популярных сайтов в случае их посещения пользователями из США и ЕС. Выяснилось, что 1844 ресурса «захватывали» данные, включая адреса электронной почты, у посетителей из ЕС. В случае с посетителями из США фактической кражей данных занимались 2950 из этих же сайтов.

В большинстве случаев трекеры принадлежали компаниям Meta✴ и TikTok, получавших данные пользователей с посещаемых ими страниц. Тем не менее, исследователи выявили 41 прежде неизвестный домен трекеров. Проводя исследование, эксперты сознательно игнорировали случаи, когда сайты имели, вероятно, «легитимные» причины для сбора информации, например, для проверки по базе сайта аналогичных имени пользователя или почтового адреса.

Известно, что в США трекеры собирают данные на сайтах USA Today, Business Insider, Fox News, Time и Trello, а в ЕС на сайтах Independent, Shopify, Newsweek и Marriott. Утверждается, что на 52 сайтах сторонние сервисы собирали пароли из форм.

Источник изображения: StockSnap/pixabay.com

По итогам исследования эксперты порекомендовали пользователям всегда исходить из того, что вводимая в веб-форму информация собирается трекерами, даже если пользователь никогда не инициирует отправку — проблема требует повышенного внимания со стороны разработчиков браузеров, специалистов по кибербезопасности и специального защитного ПО.

Помимо «обычного» сбора адресов в некоторых случаях трекеры Meta✴ и TikTok собирали хешированные персональные данные. Предполагается, что сбор происходит из-за того, что скрипт Facebook✴ ложно интерпретирует клики по любым кнопкам как подтверждение отправки форм. Представители Meta✴ и TikTok пока не комментировали запросы СМИ.

Известно, что Apple и другие компании уже начали блокировать сторонние файлы cookie и трекеры для обеспечения безопасности пользователей, но идея сбора адресов электронной почты слишком привлекательна, чтобы маркетологи отказались от неё полностью.

Также известно, что адреса электронной почты служат в качестве «идеального идентификатора» для отслеживания посещений разных платформ в долгосрочной перспективе, особенно в сравнении с другими параметрами. Подробная информация будет представлена на конференции Usenix в августе.