Трекеры на сайтах могут собирать пользовательские данные до отправки веб-форм

2022-05-18 4223 комментарии
Исследовательская группа из Левенского католического университета, университета Неймегена и университета Лозанны проанализировала сбор данных сторонними трекерами на 100 тысячах популярных в мире веб-сайтов

Многие сайты в Интернете содержат веб-формы, которые используются, например, для входа в учетную запись, регистрации нового аккаунта, публикации комментария или связи с владельцем веб-ресурса. Большинство Интернет-пользователей даже не подозревают, что информация, которую они вводят на сайтах, собираются сторонними трекерами еще до отправки данных.

Исследовательская группа из Левенского католического университета, университета Неймегена и университета Лозанны проанализировала сбор данных сторонними трекерами на 100 тысячах популярных в мире веб-сайтов. Результаты их находок были опубликован в статье «Утечки в формах: исследование эксфильтрации адреса электронной почты и паролей перед отправкой форм».

Предметом исследования стали утечки, которые включали личную информацию, такую как адреса электронной почты, логины, ники, сообщения, введенные в формы, а также в 52 случаях — пароли. Большинство пользователей при вводе данных на сайтах даже не догадываются, что сторонние скрипты и трекеры могут собирать подобную информацию. Пользователи ожидают, что при отправке их данные будут конфиденциальными и не будут переданы третьим лицам. Браузеры не раскрывают эту активность пользователям, поэтому нет никаких сигналов того, что данные собираются сторонними скриптами.

Результаты зависят от местоположения

Сбор данных различается в зависимости от местоположения пользователя. Исследователи оценили влияние локации пользователя, запустив тесты в странах Европейского Союза (ЕС) и США.

Число утечек адреса электронной почты было на 60% больше в США по сравнению с ЕС. В количественном выражении электронная почта просочилась на 1844 сайтах при подключении к 100 000 популярных сайтов из ЕС и на 2950 сайтах при подключении к тому же набору сайтов из США.

Большинство сайтов (94,4%), которые допускали утечку адреса электронной почты при подключении из EC, также раскрывали данные трекерам при подключении пользователей из США.

Случаев утечки при использовании мобильных веб-браузеров была немного ниже в обоих случаях. 1745 сайтов раскрыли адреса электронной почты при использовании мобильного браузера в ЕС, а 2744 сайта раскрыли адреса электронной почты посетителей из США.

Согласно исследованию, более 60% утечек совпадали в десктопной и мобильной версиях.

Мобильные и десктопные версии сайтов, которые используют сторонние трекеры, могут частично совпадать. Кроме того, такая разница может объясняться тем, что во время исследования сканирование мобильных и настольных компьютеров происходило не в одно и то же время, а с разницей в один месяц. Было установлено, что некоторые трекеры активны только на мобильных или настольных сайтах.

Исследователи предполагают, что более строгие европейские законы о конфиденциальности данных существенно повлияли на эту разницу. Общий регламент по защите данных (GDPR), применяется, когда сайты и службы собирают личные данные. Организации, обрабатывающие персональные данные, несут ответственность за соблюдение GDPR.

Исследователи убеждены, что эксфильтрация адреса электронной почты третьими лицами «может нарушить как минимум три требования GDPR».

Во-первых, если такая эксфильтрация происходит скрытно, что нарушает принцип прозрачности.

Во-вторых, если эксфильтрация используется для таких целей, как поведенческая реклама, маркетинг и онлайн-отслеживание,то она также нарушает принципы, заложенные в GDPR.

Наконец, если эксфильтрация электронной почты используется для поведенческой рекламы или онлайн-отслеживания, то GDPR в общем случае требует предварительного согласия посетителя веб-сайта.

Во время исследования только 7720 сайтов в ЕС и 5391 сайт в США отображали всплывающие окна согласия сбора данных. В процентном выражении это 7,7% всех проанализированных сайтов в ЕС и 5,4% всех сайтов в США.

Исследователи установили, что при отказе от обработки данных во всплывающих формах, количество сайтов с утечками уменьшилось на 13% в США и только на 0,05% в ЕС. Большинство пользователей ожидали бы 100%-ного сокращения, но в реальности все не так. Низкое снижение утечек в ЕС, вероятно, вызвано небольшим количеством веб-сайтов, которые допускали утечки и при этом показывали всплывающие окна согласия обработки данных.

Категории сайтов, трекеры и утечки

Проанализированные исследователями сайты были разбиты на несколько категорий, таких как: мода/красота, интернет-магазины, игры, новости и порнография. По словам исследователей, сайты всех категорий, за исключением порнографии, раскрывали трекерам адрес электронной почты.

Распределение утечек по категориям оказалось следующим:

  • Мода и красота: 11,1% в ЕС и 19,0% в США
  • Интернет-магазины: 9,4% в ЕС и 15,1% в США
  • Новости: 6,6% в ЕС и 10,2% в США
  • Софт / Устройства: 4,9% в ЕС и 5,7% в США
  • Бизнес: 4,8% в ЕС и 6,1% в США

Многие сайты встраивают сторонние скрипты в рекламных целях или для предоставления дополнительных возможностей. Эти скрипты могут отслеживать пользователей, например, с целью создания цифровых профилей для увеличения рекламных доходов.

Самые популярные сайты, которые раскрывали информацию об адресах электронной почты, различались в зависимости от местоположения. В топ-3 сайтов для посетителей из ЕС вошли USA Today, Trello и The Independent. Для посетителей из США это были Issuu, Business Insider и USA Today.

Дальнейший анализ трекеров показал, что относительно небольшое количество организаций несет ответственность за большую часть утечек. Значения снова отличались в зависимости от региона.

Пять организаций, которые используют наибольшее количество трекеров на сайтах с утечкой данных  — это Taboola, Adobe, FullStory, Awin Inc. и Яндекс в ЕС и LiveRamp, Taboola, Bounce Exchange, Adobe и Awin в США.

Taboola была обнаружена на 327 сайтах при посещении из ЕС, LiveRamp на 524 сайтах при посещении из США.

Как защититься от сторонних трекеров

Веб-браузеры не сообщают пользователям, собирают ли сторонние скрипты данные, которые вводятся в формы перед отправкой. Тем не менее, большинство из них, за исключением Google Chrome, включают функции защиты от отслеживания, которые по-видимому не подходят для защиты пользовательских данных от этой формы отслеживания.

Исследователи провели небольшой тест с использованием браузеров Firefox и Safari, чтобы определить, сможет ли стандартная функция защиты от отслеживания заблокировать эксфильтрацию данных. Оба браузера не смогли защитить пользовательские данные в этом испытании.

Браузеры со встроенными функциями блокировки рекламы, такие как Brave или Vivaldi, а также расширения для блокировки рекламы, такие как uBlock Origin и AdGuard, обеспечивают более надежную защиту от утечки данных. Пользователи мобильных устройств могут использовать браузеры, которые поддерживают расширения или включают функцию блокировки рекламы по умолчанию.

Исследователи разработали расширение для браузера LeakInspector, предназначенное для информирования пользователей об атаках прослушивания трафика и для блокировки запросов, содержащих личную информацию.

Исходный код расширения доступен в сервисе GitHub. Разработчики не смогли отправить расширение в Интернет-магазин Chrome, так как для этого требуется доступ к функциям, доступным только в Manifest 2. Сейчас Google принимает только расширения на основе Manifest 3 для публикации в Интернет-магазине Chrome. Расширение для Firefox находится в процессе публикации в магазине дополнений Mozilla для Firefox.

© . По материалам Ghacks
Комментарии и отзывы

Нашли ошибку?

Новое на сайте