重磅發(fā)現(xiàn):在你輸入信息點(diǎn)擊“提交”之前,數(shù)千熱門網(wǎng)站已經(jīng)洞悉你的內(nèi)容

極客網(wǎng)·極客焦點(diǎn)5月17日 當(dāng)你輸入信息訂閱新聞服務(wù)、預(yù)訂酒店或在線結(jié)賬時(shí),你可能會(huì)理所當(dāng)然地認(rèn)為,如果您輸入了 3 次錯(cuò)誤的電子郵件地址,或者改變主意關(guān)掉頁面退出輸入,這無關(guān)緊要?在你點(diǎn)擊提交按鈕之前,實(shí)際上什么都不會(huì)發(fā)生,對(duì)吧?

好吧,答案也許不是。一份最新研究顯示,情況并非總是如此:當(dāng)你將數(shù)據(jù)輸入數(shù)字表格時(shí),一大批數(shù)量驚人的網(wǎng)站正在收集您的部分或全部數(shù)據(jù),哪怕它們不是正確的數(shù)據(jù)。

QQ截圖20220517090121.png

來自KU Leuven, Radboud University和University of Lausanne的研究人員抓取并分析了世界排名考前的10萬個(gè)網(wǎng)站,研究了用戶在歐盟訪問網(wǎng)站和在美國訪問網(wǎng)站的情形。他們發(fā)現(xiàn),其中1844個(gè)網(wǎng)站在未經(jīng)他們同意的情況下收集了歐盟用戶的電子郵件地址,2950個(gè)網(wǎng)站以某種形式記錄了美國用戶的電子郵件。許多網(wǎng)站似乎并不成心要進(jìn)行數(shù)據(jù)收集,但它們包含導(dǎo)致該行為的第三方營銷和分析服務(wù),這些營銷公司靠收集分析用戶行為為生。

“如果表單上有一個(gè)提交按鈕,那么合理的期望是它會(huì)做一些事情——當(dāng)你點(diǎn)擊它時(shí)它會(huì)提交你的數(shù)據(jù),”參與研究的拉德布德大學(xué)數(shù)字安全小組的教授和研究員Güne Acar說,“但事實(shí)讓我們感到非常驚訝。我們原本認(rèn)為也許只有幾百個(gè)少量的網(wǎng)站會(huì)非法收集我們的電子郵件信息,但結(jié)果遠(yuǎn)遠(yuǎn)超出了我們的預(yù)期。”

據(jù)悉,研究人員將在 8 月的 Usenix 安全會(huì)議上展示這些發(fā)現(xiàn),并表示是受到媒體報(bào)道的啟發(fā),才展開了他們所謂的“泄露表格”調(diào)查,尤其是來自Gizmodo的關(guān)于第三方不管用戶提交與否都收集表格數(shù)據(jù)的行為。

他們指出,從本質(zhì)上講,這種行為類似于所謂的鍵盤記錄器,它們通常是一種惡意程序,會(huì)記錄目標(biāo)輸入的所有類型的內(nèi)容。但是在主流的前1000名網(wǎng)站上,用戶可能不會(huì)期望他們的信息會(huì)被鍵盤記錄。在實(shí)踐中,研究人員看到了這種行為的一些變化:一些網(wǎng)站會(huì)在用戶每敲擊一次鍵盤就記錄一次,許多網(wǎng)站會(huì)在用戶單擊下一個(gè)字段/頁面時(shí)記錄完整的輸入內(nèi)容。

“在某些情況下,當(dāng)您單擊下一個(gè)字段時(shí),他們會(huì)收集前一個(gè)字段,就像您單擊密碼字段并收集電子郵件一樣,或者您只需單擊任意位置,他們就會(huì)立即收集所有信息,”來自KU Leuven的研究者之一、隱私專家Asuman Senol說,“我們沒想到會(huì)找到數(shù)千個(gè)網(wǎng)站存在這樣的行為;而在美國,這個(gè)數(shù)字非常高,這很有趣?!?/p>

他表示,由于歐盟的通用數(shù)據(jù)保護(hù)條例,地區(qū)差異可能使公司對(duì)用戶跟蹤更加謹(jǐn)慎,甚至可能與較少的第三方整合有關(guān)。但他們強(qiáng)調(diào)這只是一種可能性,該研究并未檢查對(duì)這種差異性的解釋。

通過大量努力通知以這種方式收集數(shù)據(jù)的網(wǎng)站和第三方,研究人員發(fā)現(xiàn),對(duì)某些意外數(shù)據(jù)收集的一種解釋可能與將“提交”操作與某些網(wǎng)絡(luò)上的其他用戶操作區(qū)分開來的挑戰(zhàn)有關(guān)聯(lián),但研究人員強(qiáng)調(diào),從隱私的角度來看,這并不是一個(gè)充分的理由。

自完成論文以來,該小組還發(fā)現(xiàn)了Meta Pixel和TikTok Pixel隱形營銷跟蹤器,這些服務(wù)嵌入在他們的網(wǎng)站上,以跟蹤網(wǎng)絡(luò)上的用戶并向他們展示廣告。兩者都在它們的文檔中聲稱,客戶可以打開“自動(dòng)高級(jí)匹配”,這將在用戶提交表單時(shí)觸發(fā)數(shù)據(jù)收集。然而,在實(shí)踐中,研究人員發(fā)現(xiàn)這些跟蹤插件在提交之前就抓取了散列的電子郵件地址,即一種用于跨平臺(tái)識(shí)別網(wǎng)絡(luò)用戶電子郵件地址的模糊版本。

對(duì)于美國用戶而言,可能有8438個(gè)網(wǎng)站通過Meta Pixel向Facebook母公司Meta泄露數(shù)據(jù),而歐盟用戶可能會(huì)受影響的網(wǎng)站有7379個(gè)。對(duì)于TikTok Pixel,該組織為美國用戶找到了154個(gè)受影響站點(diǎn),為歐盟用戶找到了147個(gè)受影響站點(diǎn)。

據(jù)悉,研究人員于3月25日向Meta提交了一份報(bào)錯(cuò)報(bào)告,該公司迅速指派一名工程師處理此案,但此后該小組沒有收到任何更新。研究人員于4月21日通知了TikTok——他們最近發(fā)現(xiàn)了TikTok的更多行為——但尚未收到回復(fù)。Meta和TikTok沒有立即回復(fù)媒體就調(diào)查結(jié)果發(fā)表評(píng)論的請(qǐng)求。

“用戶的隱私風(fēng)險(xiǎn)在于他們將被更有效地跟蹤;他們可以跨不同的網(wǎng)站、跨不同的會(huì)話、跨移動(dòng)設(shè)備和桌面進(jìn)行跟蹤,”Acar說,“電子郵件地址是一個(gè)非常有用的跟蹤標(biāo)識(shí)符,因?yàn)樗侨蛐缘?、唯一的、不變的。您無法像清除cookie一樣清除它。這是一個(gè)非常強(qiáng)大的標(biāo)識(shí)符?!?/p>

Acar還指出,隨著科技公司希望逐步淘汰基于cookie的跟蹤以解決隱私問題,營銷人員和其他分析師將越來越依賴靜態(tài)ID,如電話號(hào)碼和電子郵件地址等。

由于調(diào)查結(jié)果表明在提交表單之前刪除表單中的數(shù)據(jù)可能不足以保護(hù)自己免受所有收集,因此研究人員創(chuàng)建了一個(gè)名為LeakInspector的Firefox擴(kuò)展應(yīng)用來檢測流氓表單收集情況。他們表示希望他們的發(fā)現(xiàn)能夠提高大家對(duì)這個(gè)問題的認(rèn)識(shí)——不僅是普通網(wǎng)絡(luò)用戶,而且是網(wǎng)站開發(fā)人員和管理員。后者可以主動(dòng)檢查他們的系統(tǒng)或他們使用的任何第三方應(yīng)用是否正在無需用戶同意從表單中收集數(shù)據(jù)。


極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-05-17
重磅發(fā)現(xiàn):在你輸入信息點(diǎn)擊“提交”之前,數(shù)千熱門網(wǎng)站已經(jīng)洞悉你的內(nèi)容
一份最新研究顯示,情況并非總是如此:當(dāng)你將數(shù)據(jù)輸入數(shù)字表格時(shí),一大批數(shù)量驚人的網(wǎng)站正在收集您的部分或全部數(shù)據(jù),哪怕它們不是正確的數(shù)據(jù)。

長按掃碼 閱讀全文