ردیاب های وب third-party آنچه را که در سایت ها تایپ می کنید قبل از ارسال ثبت می کنند
یک مطالعه گسترده که در مورد صد هزار وبسایت برتر انجام شده، نشان داده است که بسیاری از آنها اطلاعاتی را که در فرمهای سایت وارد میکنید، قبل از اینکه حتی دکمه ارسال را فشار دهید، توسط ردیابهای third-party برداشته می شوند.
این دادههای لو رفته شامل شناسههای شخصی، آدرسهای ایمیل، نامهای کاربری، گذرواژهها یا حتی پیامهایی است که در فرمها وارد شده و سپس حذف شده و هرگز ارسال نشدهاند.
این نشت دادهها پنهانی است زیرا کاربران اینترنت به طور خودکار تصور میکنند اطلاعاتی که در وبسایتها تایپ میکنند تا زمانی که آنها را ارسال نکردهاند ذخیره نمیشود، اما برای تقریباً 3 درصد از تمام سایتهای آزمایششده، این مورد صادق نیست.
یافته های نگران کننده
این تحقیقات با استفاده از یک خزنده مبتنی برtracker radar DuckDuckgo برای نظارت و جداسازی انجام شده است.
خزنده مجهز به یک Machin learning بود که فیلدهای ایمیل و رمز عبور را شناسایی میکرد و دسترسی اسکریپت به آن فیلدها را متوقف میکرد.
محققان 2.8 میلیون صفحه را در 100000 سایت برتر جهان آزمایش کردند و دریافتند که 1844 وبسایت به ردیابها اجازه میدهند آدرسهای ایمیل را قبل از ارسال در هنگام بازدید از اروپا بررسی کنند.
با این حال، هنگام بازدید از همان وبسایتها از ایالات متحده، تعداد سایتهایی که اطلاعات را قبل از ارسال جمعآوری میکردند به ۲۹۵۰ افزایش یافت.
در نهایت، محققان 52 وب سایت را برای جمع آوری گذرواژه ها به روش مشابه بررسی کردند، اما همه آنها پس از دریافت گزارش محققان، به این مشکل پرداختند.
چه کسی داده ها را دریافت می کند؟
هدف از ردیابهای وبسایت نظارت بر فعالیت بازدیدکنندگان، استخراج نقاط داده مربوط به اولویتها، تعاملات گزارش و تشخیص یک شناسه خاص (از لحاظ نظری) دائمی برای هر کاربر است.
این سایتها از ردیابها برای ارائه تجربه آنلاین شخصیسازیشدهتر به کاربران خود استفاده میکنند، اما به ردیابهای third-party نیز اجازه میدهند تا به شرکت های تبلیغاتی کمک کنند تا تبلیغات هدفمند را برای بازدیدکنندگان خود ارائه دهند و سود مالی را افزایش دهند.
بسیاری از این ردیابهای third-party از اسکریپتهایی استفاده میکنند که کلیک ها را در داخل فرم نظارت میکنند و محتوا را حتی قبل از فشار دادن دکمه ارسال توسط کاربر ذخیره میکنند.
این مورد از عواقب آشکار وارد کردن دادهها در فرمهای ثبتشده است که، سایر تاثیرات ناشناخته قابل شناسایی نیست و در هرشرایط ، حریم خصوصی کاربران در معرض خطر قرار می گیرند و خطرات امنیتی زیادی برای آنها ایجاد میشود.
دادههای جمعآوریشده توسط محققان دانشگاه نشان میدهد که استفاده از این ردیاب ها بسیار رایج است.
به عنوان مثال، ردیابهای LiveRamp در 662 سایت مورد تحقیق در مورد آدرس های ایمیل و، Taboola در 383 سایت وجود داشت، Verizon دادهها را از 255 سایت جمعآوری می کرد، و Adobe’s Bizible در 191 سایت اجرا شده بود.
در رده گرفتن رمز عبور، Yandex در صدر فهرست با بیشترین تعداد موارد تایید شده قرار دارد.
نیمی از شرکتها و مالکین این وبسایتها پس از اعلام شرایط این موضوعات را به اشتباهات سهوی نسبت دادند.
عامل GDPR
تفاوت بین آمار اتحادیه اروپا و ایالات متحده به وجود GDPR نسبت داده می شود، ( قانونی برای محافظت از داده های شخصی کاربران اتحادیه اروپا که توسط نهادهای آنلاین اجرا می شود.)
مورد انطباق در اینجا بستگی به افشای مجموعه دادههای وارد شده در فرمهای وبسایت دارد که باید به تفصیل و به وضوح تعریف شود.
طبق این مطالب گفته شده، نفوذ ایمیل توسط third-party از طریق ردیاب ها حداقل سه الزام GDPR را نقض می کند، یعنی اصل شفافیت، اصل محدودیت هدف و عدم وجود درخواست رضایت.
نقض تایید شده GDPR با جریمه ای تا سقف 20،000،000 یورو یا تا 4 درصد از گردش مالی جهانی سالانه واحد تجاری مجازات می شود.
کاربران چه کاری می توانند انجام دهند؟
بهترین راه برای مقابله با این مشکل این است که تمام ردیاب های third-party را با استفاده از ابزار داخلی مرورگر خود مسدود کنید. همه مرورگرهای اصلی دارای یک In-built blocker هستند و شما آن را در بخش حریم خصوصی ((praivacy منوی تنظیمات پیدا خواهید کرد.
علاوه بر این، سرویسهای ارسال ایمیل خصوصی به کاربران این امکان را میدهند که آدرسهای ایمیل مستعار را ایجاد کنند، بنابراین حتی اگر کسی آن را ربوده باشد، شناسایی امکانپذیر نخواهد بود.
در نهایت، برای کسانی که میخواهند رویکرد موثرتری داشته باشند، محققان یک افزونه مرورگر به نام Leak Inspector ایجاد و منتشر کردهاند که رویدادهای مربوط به نفوذ را در هر سایتی نظارت میکند و به کاربران هشدار میدهد.
