本文来自极客网,作者/舒云。
当你输入信息订阅新闻服务、预订酒店或在线结账时,你可能会理所当然地认为,如果您输入了3次错误的电子邮件地址,或者改变主意关掉页面退出输入,这无关紧要?在你点击提交按钮之前,实际上什么都不会发生,对吧?
好吧,答案也许不是。一份最新研究显示,情况并非总是如此:当你将数据输入数字表格时,一大批数量惊人的网站正在收集您的部分或全部数据,哪怕它们不是正确的数据。
来自KU Leuven,Radboud University和University of Lausanne的研究人员抓取并分析了世界排名考前的10万个网站,研究了用户在欧盟访问网站和在美国访问网站的情形。他们发现,其中1844个网站在未经他们同意的情况下收集了欧盟用户的电子邮件地址,2950个网站以某种形式记录了美国用户的电子邮件。许多网站似乎并不成心要进行数据收集,但它们包含导致该行为的第三方营销和分析服务,这些营销公司靠收集分析用户行为为生。
“如果表单上有一个提交按钮,那么合理的期望是它会做一些事情——当你点击它时它会提交你的数据,”参与研究的拉德布德大学数字安全小组的教授和研究员Güne Acar说,“但事实让我们感到非常惊讶。我们原本认为也许只有几百个少量的网站会非法收集我们的电子邮件信息,但结果远远超出了我们的预期。”
据悉,研究人员将在8月的Usenix安全会议上展示这些发现,并表示是受到媒体报道的启发,才展开了他们所谓的“泄露表格”调查,尤其是来自Gizmodo的关于第三方不管用户提交与否都收集表格数据的行为。
他们指出,从本质上讲,这种行为类似于所谓的键盘记录器,它们通常是一种恶意程序,会记录目标输入的所有类型的内容。但是在主流的前1000名网站上,用户可能不会期望他们的信息会被键盘记录。在实践中,研究人员看到了这种行为的一些变化:一些网站会在用户每敲击一次键盘就记录一次,许多网站会在用户单击下一个字段/页面时记录完整的输入内容。
“在某些情况下,当您单击下一个字段时,他们会收集前一个字段,就像您单击密码字段并收集电子邮件一样,或者您只需单击任意位置,他们就会立即收集所有信息,”来自KU Leuven的研究者之一、隐私专家Asuman Senol说,“我们没想到会找到数千个网站存在这样的行为;而在美国,这个数字非常高,这很有趣。”
他表示,由于欧盟的通用数据保护条例,地区差异可能使公司对用户跟踪更加谨慎,甚至可能与较少的第三方整合有关。但他们强调这只是一种可能性,该研究并未检查对这种差异性的解释。
通过大量努力通知以这种方式收集数据的网站和第三方,研究人员发现,对某些意外数据收集的一种解释可能与将“提交”操作与某些网络上的其他用户操作区分开来的挑战有关联,但研究人员强调,从隐私的角度来看,这并不是一个充分的理由。
自完成论文以来,该小组还发现了Meta Pixel和TikTok Pixel隐形营销跟踪器,这些服务嵌入在他们的网站上,以跟踪网络上的用户并向他们展示广告。两者都在它们的文档中声称,客户可以打开“自动高级匹配”,这将在用户提交表单时触发数据收集。然而,在实践中,研究人员发现这些跟踪插件在提交之前就抓取了散列的电子邮件地址,即一种用于跨平台识别网络用户电子邮件地址的模糊版本。
对于美国用户而言,可能有8438个网站通过Meta Pixel向Facebook母公司Meta泄露数据,而欧盟用户可能会受影响的网站有7379个。对于TikTok Pixel,该组织为美国用户找到了154个受影响站点,为欧盟用户找到了147个受影响站点。
据悉,研究人员于3月25日向Meta提交了一份报错报告,该公司迅速指派一名工程师处理此案,但此后该小组没有收到任何更新。研究人员于4月21日通知了TikTok——他们最近发现了TikTok的更多行为——但尚未收到回复。Meta和TikTok没有立即回复媒体就调查结果发表评论的请求。
“用户的隐私风险在于他们将被更有效地跟踪;他们可以跨不同的网站、跨不同的会话、跨移动设备和桌面进行跟踪,”Acar说,“电子邮件地址是一个非常有用的跟踪标识符,因为它是全球性的、唯一的、不变的。您无法像清除cookie一样清除它。这是一个非常强大的标识符。”
Acar还指出,随着科技公司希望逐步淘汰基于cookie的跟踪以解决隐私问题,营销人员和其他分析师将越来越依赖静态ID,如电话号码和电子邮件地址等。
由于调查结果表明在提交表单之前删除表单中的数据可能不足以保护自己免受所有收集,因此研究人员创建了一个名为LeakInspector的Firefox扩展应用来检测流氓表单收集情况。他们表示希望他们的发现能够提高大家对这个问题的认识——不仅是普通网络用户,而且是网站开发人员和管理员。后者可以主动检查他们的系统或他们使用的任何第三方应用是否正在无需用户同意从表单中收集数据。
