Iznenađujući broj od 100.000 najboljih veb lokacija efektivno uključuje kilogere koji prikriveno hvataju sve što unesete u obrazac.
Kada se prijavite za bilten, rezervišete hotel ili se odjavite na mreži, verovatno uzimate zdravo za gotovo da ako tri puta pogrešno otkucate adresu e-pošte ili se predomislite i na brzinu napustite stranicu, to nije važno. Ništa se zapravo ne dešava dok ne pritisnete dugme Pošalji, zar ne?
Pa, možda i ne.
Kao i sa mnogim pretpostavkama o vebu, ovo nije uvek slučaj, prema novom istraživanju: iznenađujući broj veb lokacija prikuplja neke ili sve vaše podatke dok ih upisujete u digitalni oblik.
Istraživači sa KU Leuven, Univerziteta Radboud i Univerziteta u Lozani su pretražili i analizirali 100.000 najboljih veb lokacija, posmatrajući scenarije u kojima korisnik posećuje sajt dok je u Evropskoj uniji i posećuje sajt iz Sjedinjenih Država. Otkrili su da je 1.844 veb lokacija prikupilo imejl adresu korisnika iz EU bez njihovog pristanka, a neverovatnih 2.950 je u nekom obliku prijavilo imejl korisnika iz SAD.
ps://dnevnipuls.com/rusija-danas-obustavlja-isporuke-struje-finskoj-snabdevac-nije-u-mogucnosti-da-placa-uvoz/
Mnogi od sajtova naizgled nemaju nameru da sprovode evidenciju podataka, već uključuju marketinške i analitičke usluge trećih strana koje izazivaju takvo ponašanje.
Nakon posebnog popisivanja sajtova za curenje lozinki u maju 2021., istraživači su takođe pronašli 52 veb lokacije na kojima su treće strane, uključujući ruski tehnološki gigant Yandex, slučajno prikupljale podatke o lozinkama.
Ako na obrascu postoji dugme „Pošalji“, razumno je očekivati da ono uradi nešto, da će poslati vaše podatke kada kliknete na njega – kaže Gunes Acar, profesor i istraživač u grupi za digitalnu bezbednost Univerziteta Radboud i jedan od lidera ove studije.
Bili smo super iznenađeni ovim rezultatima. Mislili smo da ćemo možda pronaći nekoliko stotina veb lokacija na kojima se prikuplja vaša e-pošta pre nego što ih pošaljete, ali ovo je daleko premašilo naša očekivanja.
Istraživači, koji će svoje nalaze predstaviti na konferenciji o bezbednosti Usenix u avgustu, kažu da su bili inspirisani da istraže ono što nazivaju „propustljivim obrascima” medijskim izveštajima, posebno iz Gizmoda, o trećim stranama koje prikupljaju podatke obrasca bez obzira na status podnošenja.
Oni ističu da je, u suštini, ponašanje slično takozvanim kilogerima, koji su tipično zlonamerni programi koji beleže sve što meta tipuje.
Ali na mejnstrim sajtovima koji su u top-1000, korisnici verovatno neće očekivati da će njihove informacije biti evidentirane.
I u praksi, istraživači su videli nekoliko varijacija ponašanja. Neki sajtovi su beležili podatke pritisak po taster, ali mnogi su preuzimali kompletne podneske iz jednog polja kada su korisnici kliknuli na sledeće.
U nekim slučajevima, kada kliknete na sledeće polje, oni prikupljaju prethodno, kao da kliknete na polje za lozinku i oni sakupe e-poštu, ili jednostavno kliknete bilo gde i oni odmah prikupe sve informacije – kaže Asuman Senol, stručnjak za privatnost i istraživač identiteta u KU Leuven i jedan od koautora studije.
Nismo očekivali da ćemo pronaći hiljade veb lokacija; a u SAD su brojke zaista velike, što je interesantno
Istraživači kažu da regionalne razlike mogu biti povezane sa tim što su kompanije opreznije u pogledu praćenja korisnika, pa čak i potencijalno se integrišu sa manjim brojem trećih strana, zbog Opšte uredbe EU o zaštiti podataka. Ali ističu da je to samo jedna mogućnost, a studija nije ispitivala objašnjenja za disparitet.
Kroz značajne napore da se obaveste veb-sajtovi i treće strane koje prikupljaju podatke na ovaj način, istraživači su otkrili da jedno objašnjenje za neke od neočekivanih prikupljanja podataka možda ima veze sa izazovom razlikovanja radnje „podnošenja“ od drugih radnji korisnika na određenom vebu stranice.
Ali istraživači naglašavaju da iz perspektive privatnosti to nije adekvatno opravdanje.
Otkako je završila svoj rad, grupa je takođe otkrila Meta Pixel i TikTok Pixel, nevidljive marketinške tragače koje usluge ugrađuju na svoje veb stranice kako bi pratile korisnike širom veba i prikazivale im oglase. Oba su u svojoj dokumentaciji tvrdili da korisnici mogu uključiti „automatsko napredno uparivanje“, koje bi pokrenulo prikupljanje podataka kada korisnik pošalje obrazac.
U praksi, međutim, istraživači su otkrili da ovi pikseli za praćenje hvataju adrese e-pošte, skrivenu verziju adresa e-pošte koja se koristi za identifikaciju korisnika veba na različitim platformama, pre podnošenja.
Za korisnike u SAD, 8.438 sajtova je možda propuštalo podatke Meta, Fejsbukovoj matičnoj kompaniji, preko piksela, a 7.379 sajtova može biti pogođeno korisnicima iz EU. Za TikTok Pixel, grupa je pronašla 154 sajta za korisnike u SAD i 147 za korisnike iz EU.
Istraživači su 25. marta predali Meti izveštaj o grešci i kompanija je brzo dodelila inženjera za slučaj, ali grupa od tada nije se izjasnila. Istraživači su obavestili TikTok 21. aprila, nedavno su otkrili ponašanje TikTok-a i nisu dobili odgovor. Meta i TikTok nisu odmah vratili zahtev za komentar o nalazima.
Rizici za privatnost za korisnike su da će oni biti praćeni još efikasnije; mogu se pratiti na različitim veb lokacijama, u različitim sesijama, na mobilnim i desktop računarima – kaže Acar.
Imejl adresa je tako koristan identifikator za praćenje, jer je globalna, jedinstvena, stalna. Ne možete to da obrišete kao što brišete kolačiće. To je veoma moćan identifikator.
Acar takođe ističe da, pošto tehnološke kompanije žele da postepeno ukinu praćenje zasnovano na kolačićima u znak pažnje na zabrinutost privatnosti, trgovci i drugi analitičari će se sve više oslanjati na statične ID-ove kao što su brojevi telefona i adrese e-pošte.
Teška pucnjava u SAD: Sa dve puške uleteo u supermarket i ubio 10 ljudi
Pošto nalazi pokazuju da brisanje podataka u obrascu pre slanja možda neće biti dovoljno da se zaštitite od celokupnog prikupljanja, istraživači su kreirali proširenje za Firefox pod nazivom LeakInspector za otkrivanje lažnog prikupljanja obrazaca.
I kažu da se nadaju da će njihovi nalazi podići svest o ovom problemu, ne samo za redovne korisnike veba, već i za programere i administratore veb lokacija koji mogu proaktivno da provere da li njihovi sistemi ili bilo koja od trećih strana koje koriste prikupljaju podatke iz obrazaca bez saglasnost.
Obrasci koji ne propuštaju su samo još jedna vrsta prikupljanja podataka na koju treba biti oprezan u ionako izuzetno pretrpanom onlajn polju.
Pratite nas na društvenim mrežama Fejsbuk, Telegram i Tviter