Alguns dos 100.000 principais sites coletam tudo o que você digita, antes de clicar em enviar

Quando você se inscreve em um boletim informativo, faz uma reserva de hotel ou paga on-line, provavelmente assume que, se digitar errado seu endereço de e-mail três vezes ou mudar de ideia e remover o X da página, não importa. Nada realmente acontece até você clicar no botão Enviar, certo? Bem, talvez não. Tal como acontece com tantas suposições sobre a web, nem sempre é esse o caso, de acordo com nova pesquisa: um número surpreendente de sites coleta alguns ou todos os seus dados conforme você os insere em um formulário digital.

Pesquisadores da KU Leuven, da Radboud University e da Universidade de Lausanne rastrearam e analisaram os 100.000 principais sites, analisando cenários em que um usuário visita um site enquanto está na União Europeia e visita um site dos Estados Unidos. Eles descobriram que 1.844 sites coletaram o endereço de e-mail de um usuário da UE sem seu consentimento, e impressionantes 2.950 registraram o e-mail de um usuário dos EUA de alguma forma. Aparentemente, muitos dos sites não se destinam a fazer o registro de dados, mas sim incorporar análises e serviços de marketing de terceiros que causam o comportamento.

Depois de rastrear sites especificamente para vazamentos de senhas em maio de 2021, os pesquisadores também encontraram 52 sites onde terceiros, incluindo a gigante de tecnologia russa Yandex, coletaram acidentalmente dados de senha antes de enviá-los. O grupo divulgou suas descobertas para esses sites e todos os 52 casos já foram resolvidos.

“Se houver um botão de envio em um formulário, a expectativa razoável é que ele faça alguma coisa, que envie seus dados quando você clicar nele”, diz Güneş Acar, professor e pesquisador do grupo de segurança digital da Universidade Radboud e um dos líderes do estudo. “Ficamos muito surpresos com esses resultados. Pensamos que talvez encontraríamos algumas centenas de sites onde seu e-mail é coletado antes de ser enviado, mas isso superou nossas expectativas.”

Os pesquisadores, que Presente suas descobertas na conferência de segurança Usenix em agosto, eles dizem que foram inspirados a investigar o que eles chamam de “formulários vazados” por relatos da mídia, em particular a partir de gizmodo, sobre terceiros que coletam dados de formulários independentemente do status do envio. Eles apontam que o comportamento é essencialmente semelhante aos chamados keyloggers, que geralmente são programas maliciosos que gravam tudo o que um destino escreve. Mas em um site top 1000, os usuários provavelmente não esperarão que suas informações sejam registradas. E, na prática, os pesquisadores observaram algumas variações comportamentais. Alguns sites registraram dados de pressionamento de tecla por pressionamento de tecla, mas muitos obtiveram envios completos de um campo quando os usuários clicaram no próximo.

“Em alguns casos, quando você clica no próximo campo, eles coletam o anterior, como se você clicar no campo de senha e eles coletam o e-mail, ou você simplesmente clica em qualquer lugar e eles coletam todas as informações imediatamente”, diz Asuman. Senol, especialista em privacidade. e pesquisador de identidade da KU Leuven e um dos coautores do estudo: “Não esperávamos encontrar milhares de sites e, nos EUA, os números são muito altos, o que é interessante.”

Os pesquisadores dizem que as diferenças regionais podem estar relacionadas ao fato de as empresas serem mais cautelosas no rastreamento de usuários e até mesmo se integrarem com menos terceiros, devido ao Regulamento Geral de Proteção de Dados da UE. Mas eles enfatizam que esta é apenas uma possibilidade, e o estudo não examinou explicações para a disparidade.

Por meio de um esforço substancial para notificar sites e terceiros que coletam dados dessa maneira, os pesquisadores descobriram que uma explicação para algumas coletas inesperadas de dados pode ter a ver com o desafio de diferenciar uma ação “enviar”. determinados sites. páginas Mas os pesquisadores enfatizam que, do ponto de vista da privacidade, essa não é uma justificativa adequada.

Desde que completou o papel, o grupo também fez uma descoberta sobre o Meta Pixel e o TikTok Pixel, rastreadores de marketing invisíveis que os serviços incorporam em seus sites para rastrear usuários na web e mostrar anúncios. Ambos afirmaram em sua documentação que os clientes poderiam ativar a “correspondência automática avançada”, o que acionaria a coleta de dados quando um usuário enviasse um formulário. No entanto, na prática, os pesquisadores descobriram que esses pixels de rastreamento capturavam endereços de e-mail criptografados, uma versão oculta de endereços de e-mail usados ​​para identificar usuários da web em todas as plataformas, antes do envio. Para usuários dos EUA, 8.438 sites podem ter vazado dados para a Meta, empresa controladora do Facebook, por meio de pixels, e 7.379 sites podem ter sido afetados para usuários da UE. Para o TikTok Pixel, o grupo encontrou 154 sites para usuários dos EUA e 147 para usuários da UE.

Os investigadores registraram um relatório de bug com a Meta em 25 de março, e a empresa rapidamente designou um engenheiro para o caso, mas o grupo não recebeu nenhuma atualização desde então. Os investigadores notificaram o TikTok em 21 de abril; eles descobriram o comportamento do TikTok mais recentemente e não receberam resposta. Meta e TikTok não responderam imediatamente ao pedido de comentário da WIRED sobre as descobertas.

“Os riscos de privacidade para os usuários são que eles serão rastreados de forma ainda mais eficiente; eles podem ser rastreados em diferentes sites, em diferentes sessões, em dispositivos móveis e desktops”, diz Acar. “Um endereço de e-mail é um identificador muito útil para rastreamento, porque é global, é único, é constante. Você não pode excluí-lo como exclui seus cookies. É um identificador muito poderoso.”

Acar también señala que, a medida que las empresas de tecnología buscan eliminar gradualmente el seguimiento basado en cookies en un guiño a las preocupaciones de privacidad, los especialistas en marketing y otros analistas confiarán cada vez más en identificaciones estáticas como números de teléfono y direcciones de Correio eletrônico.

Como os resultados indicam que excluir dados de um formulário antes de enviá-los pode não ser suficiente para protegê-los de toda a coleta, os pesquisadores criaram um extensão para firefox chamado LeakInspector para detectar coleta de formulários não autorizada. E eles dizem que esperam que suas descobertas aumentem a conscientização sobre o problema, não apenas para usuários regulares da Web, mas também para desenvolvedores e administradores de sites que podem verificar proativamente se seus próprios sistemas ou sistemas de terceiros que estão usando estão coletando dados de formulários sem consentimento.

Os formulários com vazamento são apenas mais um tipo de coleta de dados a ser observado em um campo on-line já extremamente lotado.

Esta história apareceu originalmente em wired.com.

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado.