Bir haber bültenine kaydolduğunuzda, bir otel rezervasyonu yaptığınızda veya çevrimiçi olarak çıkış yaptığınızda, e-posta adresinizi üç kez yanlış yazarsanız veya fikrinizi değiştirirseniz ve sayfadan X çıkarırsanız, bunun önemli olmadığını kabul etmiş olursunuz. Gönder düğmesine basana kadar aslında hiçbir şey olmuyor, değil mi? Belki de değil. Web ile ilgili pek çok varsayımda olduğu gibi, bu her zaman böyle değildir. yeni araştırma: Şaşırtıcı sayıda web sitesi, siz dijital bir forma yazarken verilerinizin bir kısmını veya tamamını topluyor.
KU Leuven, Radboud Üniversitesi ve Lozan Üniversitesi’nden araştırmacılar, bir kullanıcının Avrupa Birliği’ndeyken bir siteyi ziyaret ettiği ve Amerika Birleşik Devletleri’nden bir siteyi ziyaret ettiği senaryolara bakarak en iyi 100.000 web sitesini taradı ve analiz etti. 1.844 web sitesinin bir AB kullanıcısının e-posta adresini rızası olmadan topladığını ve şaşırtıcı bir şekilde 2.950’nin bir ABD kullanıcısının e-postasını bir şekilde kaydettiğini buldular. Görünüşe göre sitelerin çoğu, veri kaydetmeyi amaçlamıyor, ancak davranışa neden olan üçüncü taraf pazarlama ve analiz hizmetlerini içeriyor.
Mayıs 2021’de siteleri özellikle şifre sızıntıları için taradıktan sonra, araştırmacılar ayrıca, Rus teknoloji devi Yandex de dahil olmak üzere üçüncü tarafların, gönderilmeden önce tesadüfen şifre verilerini topladığı 52 web sitesi buldu. Grup bulgularını bu sitelere açıkladı ve o zamandan beri 52 vakanın tümü çözüldü.
Radboud Üniversitesi’nin dijital güvenlik grubunda profesör ve araştırmacı ve liderlerden biri olan Güneş Acar, “Bir formda Gönder düğmesi varsa, makul beklenti bir şey yapmasıdır – tıkladığınızda verilerinizi göndermesidir” diyor. Çalışmanın. “Bu sonuçlara çok şaşırdık. Göndermeden önce e-postalarınızın toplandığı birkaç yüz web sitesi bulacağımızı düşündük, ancak bu beklentilerimizi çok aştı.”
yapacak olan araştırmacılar, sunmak Ağustos ayındaki Usenix güvenlik konferansında elde ettikleri bulgular, medya raporlarından “sızdıran formlar” olarak adlandırdıkları şeyi araştırmak için ilham aldıklarını söylüyor, özellikle itibaren Gizmodo, Gönderim durumundan bağımsız olarak form verilerini toplayan üçüncü taraflar hakkında. Özünde, davranışın tipik olarak keylogger olarak adlandırılanlara benzer olduğuna dikkat çekiyorlar. kötü amaçlı programlar her şeyi günlüğe kaydeden bir hedef türü. Ancak, genel kullanıma açık bir ilk 1000 sitede, kullanıcılar muhtemelen bilgilerinin keylog’a kaydedilmesini beklemeyecektir. Ve pratikte, araştırmacılar davranışın birkaç varyasyonunu gördüler. Bazı siteler, tuş vuruşlarını tuş vuruşuyla kaydetti, ancak çoğu, kullanıcılar bir sonrakine tıkladığında bir alandan tam gönderimleri aldı.
Asuman Şenol, “Bazı durumlarda, bir sonraki alana tıkladığınızda, tıpkı sizin şifre alanına tıkladığınız gibi bir öncekini toplarlar ve e-postayı toplarlar veya herhangi bir yere tıkladığınızda tüm bilgileri hemen toplarlar” diyor. ve KU Leuven’de kimlik araştırmacısı ve çalışmanın ortak yazarlarından biri: “Binlerce web sitesi bulmayı beklemiyorduk; ve ABD’de rakamlar gerçekten çok yüksek, bu da ilginç.”
Araştırmacılar, bölgesel farklılıkların, şirketlerin kullanıcı takibi konusunda daha temkinli olmaları ve hatta AB’nin Genel Veri Koruma Yönetmeliği nedeniyle potansiyel olarak daha az üçüncü tarafla entegre olmaları ile ilgili olabileceğini söylüyor. Ancak bunun sadece bir olasılık olduğunu vurguluyorlar ve çalışma, eşitsizlik için açıklamaları incelemedi.
Bu şekilde veri toplayan web sitelerini ve üçüncü şahısları bilgilendirmek için büyük bir çaba sarf eden araştırmacılar, beklenmedik veri toplamanın bazılarının bir açıklamasının, bir “gönderme” eylemini belirli web’deki diğer kullanıcı eylemlerinden ayırt etme zorluğuyla ilgili olabileceğini buldular. sayfalar. Ancak araştırmacılar, mahremiyet açısından bakıldığında bunun yeterli bir gerekçe olmadığını vurguluyor.
tamamlanmasından bu yana kağıt, grup ayrıca, web üzerindeki kullanıcıları izlemek ve onlara reklam göstermek için web sitelerine yerleştiren görünmez pazarlama izleyicileri olan Meta Pixel ve TikTok Pixel hakkında bir keşif yaptı. Her ikisi de belgelerinde, müşterilerin bir kullanıcı bir form gönderdiğinde veri toplamayı tetikleyecek olan “otomatik gelişmiş eşleştirmeyi” açabileceklerini iddia etti. Ancak pratikte, araştırmacılar bu izleme piksellerinin, gönderilmeden önce platformlar arasında web kullanıcılarını tanımlamak için kullanılan e-posta adreslerinin gizlenmiş bir sürümü olan karma e-posta adreslerini aldığını buldu. ABD’li kullanıcılar için 8.438 site, Facebook’un ana şirketi Meta’ya pikseller aracılığıyla veri sızdırıyor olabilir ve AB kullanıcıları için 7.379 site etkilenmiş olabilir. Grup, TikTok Pixel için ABD kullanıcıları için 154 ve AB kullanıcıları için 147 site buldu.
Araştırmacılar 25 Mart’ta Meta’ya bir hata raporu sundular ve şirket bu olaya çabucak bir mühendis atadı, ancak grup o zamandan beri bir güncelleme duymadı. Araştırmacılar 21 Nisan’da TikTok’u bilgilendirdi – TikTok davranışını daha yakın zamanda keşfettiler – ve bir haber alamadılar. Meta ve TikTok, WIRED’in bulgularla ilgili yorum talebini hemen geri çevirmedi.
“Kullanıcılar için gizlilik riskleri, daha verimli bir şekilde takip edilmeleri; farklı web sitelerinde, farklı oturumlarda, mobil ve masaüstünde izlenebiliyorlar” diyor Acar. “Bir e-posta adresi, izleme için çok yararlı bir tanımlayıcıdır, çünkü küreseldir, benzersizdir, sabittir. Çerezlerinizi temizlediğiniz gibi temizleyemezsiniz. Bu çok güçlü bir tanımlayıcı.”
Acar ayrıca, teknoloji şirketleri gizlilik endişelerini dikkate alarak çerez tabanlı izlemeyi aşamalı olarak kaldırmaya çalıştıkça, pazarlamacıların ve diğer analistlerin telefon numaraları ve e-posta adresleri gibi statik kimliklere giderek daha fazla güveneceklerine dikkat çekiyor.
Bulgular, bir formdaki verileri göndermeden önce silmenin, kendinizi tüm koleksiyonlardan korumak için yeterli olmayabileceğini gösterdiğinden, araştırmacılar bir form oluşturdu. Firefox uzantısı hileli form koleksiyonunu algılamak için LeakInspector denir. Ve bulgularının, yalnızca normal web kullanıcıları için değil, kendi sistemlerinin veya kullandıkları üçüncü şahıslardan herhangi birinin formlardan veri toplayıp toplamadığını proaktif olarak kontrol edebilen web sitesi geliştiricileri ve yöneticileri için de konuyla ilgili farkındalık yaratmasını umduklarını söylüyorlar. onay.
Sızdıran formlar, zaten son derece kalabalık bir çevrimiçi alanda dikkatli olunması gereken bir veri toplama türüdür.
Bu hikaye ilk olarak kablolu.com.
Kaynak : https://arstechnica.com/?p=1854097