總有人在看
研究人員分析了 100,000 個最受歡迎的網站並研究了不同的場景 ——例如,他們比較了用戶在歐盟和美國逗留期間訪問的網站的行為。
他們發現,在歐盟用戶提交和批准表格之前,有 1,844 個門戶網站收集了電子郵件地址。對於美國,它是 2950。據報導,其中許多都包含自動收集此信息的第三方營銷和分析軟件。
有趣的是,研究人員還發現,52 個網站的密碼被外部會話重放腳本無意中收集了。該小組在這些網站上發布了他們的調查結果,據報導所有 52 起案件都已解決。
研究表明,網站使用不同的方式收集數據。其中一些記錄了擊鍵,而另一些則在用戶單擊下一個字段時從一個字段中提取完整報告。
KU Leuven 的隱私和身份研究員、該研究的合著者之一 Asuman Senol 評論道:
在某些情況下,當您單擊下一個字段時,他們會收集以前的字段,就像您單擊密碼字段並收集電子郵件一樣,或者您只需單擊任意位置,他們就會立即收集所有信息。我們沒想到會找到數千個網站;在美國,這個數字非常高,這很有趣。
在調查過程中,研究人員還發現Meta(前 Facebook)和 TikTok從網絡表單中收集加密的個人數據,即使用戶選擇不提交表單。
我們將被更有效地跟踪
正如拉德布德大學數字安全小組教授兼研究員、研究聯合負責人 Güneş Akar 強調的那樣:
如果您的表單有一個>> Submit << 按鈕,那麼期望它執行某些操作是合理的——單擊時提交您的數據。我們對這些結果感到非常驚訝。我們原以為可以在您發送電子郵件之前找到數百個收集您的電子郵件的網站,但這絕對超出了我們的預期。
他還表示,用戶的隱私風險在於他們將在網站、會話、移動設備和桌面上被更有效地跟踪。
電子郵件地址是一個非常有用的跟踪 ID,因為它是全局的、唯一的和持久的。當您刪除 cookie 時,這無法清除。這是一個非常強大的標識符。
研究人員計劃在 8 月的 Usenix 安全會議上展示他們的發現。
您如何看待研究結果?在評論中告訴我。
資料來源:wired.com、home.esat.kuleuven.be/~asenol/leaky-forms/
發佈留言