Badacze z KU Leuven, Radboud University i University of Lousanne przeszukali i przeanalizowali 100 000 najpopularniejszych witryn internetowych, pod kątem nielegalnego zbierania informacji użytkowników.
Naukowcy dodatkowo sprawdzili czy zbieranie nielegalnych danych różni się w zależności o mejsca pobytu użytkownika. Przyjrzeli się dwóm scenariuszom. W pierwszym eksperymencie użytkownik odwiedzał witryny przebywając w Unii Europejskiej. W drugim te same wityny internetowe odwiedzane był przez użytkowników ze Stanów Zjednoczonych.
Okazało się, że ze 100 000 przeanalizowanych stron internetowych, 1844 zebrało adresy e-mail użytkowników z UE bez ich zgody, a aż 2950 zarejestrowało e-maile użytkowników z USA.
W wielu przypadkach nadużycia zbierania adresów emailowych odbywały się w momencie zapisywania się po raz pierwszy na strony internetowe. Güneş Acar, profesor i badacz w grupie ds. bezpieczeństwa cyfrowego na Uniwersytecie Radboud i jeden z liderów badania powiedział, że nadużycia dokonywane były nawet w sytuacjach wypisywania formularzy rejestracyjnych – podczas zapisywania się na daną stronę, przed naciśnięciem klawisza – prześlij stronę (submit).
„Jeśli w formularzu znajduje się przycisk Prześlij, można się spodziewać, że po jego wciśnięciu dane zostaną przesłane dalej, a nie przed jego kliknięciem.” W praktyce oznacza to, że informacje osoby, która rozpoczęła proces rejestracji, ale w trakcie wypełniania formularza wycofała się, również zostały przesłane do witryny internetowej.
Acar dodał, że badacze byli bardzo zaskoczeni tym odkryciem i ilością nadużyć. „Pomyśleliśmy, że może uda nam się znaleźć kilkaset witryn internetowych, na których zbierane są dane adresów emailowych, zanim je prześlesz, ale to co znaleźliśmy zdecydowanie przekroczyło nasze oczekiwania”.
Naukowcy po dokładnej analizie zauważyli, że oprócz emali, wiele stron zbierało również dane użytkowników, a w 52 przypadkach nawet hasła wpisywane podczas logowania.
Wiele witryn twierdzi, że nie zbiera i rejestruje danych użytkownika co jest tylko pozorną prawdą, gdyż zatrudniają one firmy marketingowe i analityczne, które robią to za nie. Wśród gigantów technologicznych „przypadkowo zbierających dane dotyczące haseł” była rosyjska firma technologiczna Yandex.
Badacze twierdzą, że do zbadania tego, co nazywają „nieszczelnymi formularzami”, zainspirowały ich doniesienia medialne, w szczególności z Gizmodo, dotyczące stron trzecich gromadzących dane z formularzy niezależnie od statusu ich przesyłania. Strony, na których wykryto nadużycia stosują tak zwane keyloggery. Keyloggery są stworzone do rejestrowania naciśnięć klawiszy, czyli tworzenia zapisów wszystkiego, co osoba wpisuje na klawiaturze komputera lub telefonu komórkowego. Są one używane do cichego monitorowania aktywności na komputerze czy telefonie, często bez zgody lub wiedzy użytkownika. Niektórzy porównują ten czyn do podsłuchu telefonicznego. Keyloggery mogą być wykorzystywane przez przestępców do kradzieży danych.
Naukowcy zauważyli kilka odmian używania keyloggerów. Niektóre witryny rejestrowały dane każdego klawisza – naciśnięcia klawisza po naciśnięciu klawisza. Inne pobierały kompletne informacje z jednego pola (np. po wpisaniu całego hasła czy emaila), gdy użytkownik klikał i przechodził do następnego pola.
Badacze dodają, że firmy takie jak Meta i TikTok używają pikseli do zbierania danych. Piksele są dodatkiem analitycznym umożliwiającym monitorowanie działań użytkownika, jego zachowań i preferencji oraz pozwalają mierzyć skuteczność wyświetlanych reklam. Obie firmy twierdzą, że użytkownicy mogą włączyć „automatyczne zaawansowane dopasowywanie”, które uruchamiałoby zbieranie danych, gdy użytkownik przesyła formularz. W praktyce jednak naukowcy odkryli, że piksele śledziły ruchy i informacje użytkowników, pobierając zaszyfrowane adresy e-mailowe. W przypadku użytkowników z USA 8438 witryn internetowych po cichu przekazywało informacje za pośrednictwem pikseli do Meta, firmy macierzystej Facebooka, a 7379 witryn z UE. W przypadku TikTok Pixel 154 witryny z USA i 147 z UE.
Acar zwraca również uwagę, że w miarę jak firmy technologiczne starają się wycofywać śledzenie użytkowników oparte na plikach cookie w związku z obawami o naruszenie prywatności, marketerzy i inni analitycy będą coraz bardziej polegać na statycznych identyfikatorach, takich jak numery telefonów i adresy e-mailowe. „Ryzyko utraty prywatności jest duże. Użytkownicy będą śledzeni jeszcze bardziej na urządzeniach mobilnych i komputerach stacjonarnych. Adres e-mailowy jest bardzo przydatnym identyfikatorem do śledzenia, ponieważ jest globalny, jest unikalny, jest stały. Nie możesz go wyczyścić tak, jak usuwasz pliki cookie. To bardzo potężny identyfikator”, powiedział Acar.
Naukowcy również twierdzą, że różnice regionalne nadużyć mogą być związane z tym, że firmy są bardziej ostrożne w śledzeniu użytkowników, a nawet potencjalnie integrują się z mniejszą liczbą stron trzecich, ze względu na ogólne rozporządzenie UE o ochronie danych.
Posłuchaj podcastów:
