هزاران وبسایت میزبان فرمهای آنلاین، دادههای وارد شده به آنها را بهطور زنده قبل از ارسال دریافت میکنند و سپس دادههای شناسایی را در اختیار کارگزاران داده، تبلیغکنندگان و شرکتهای بازاریابی شخص ثالث قرار میدهند.
این افشاگری در یک مطالعه جدید توسط محققان دانشگاه KU Leuven، دانشگاه رادبود و دانشگاه لوزان انجام شد. این نشان داد که آدرسهای ایمیل کاربران قبل از ارسال فرمها و قبل از اعلام رضایت در مورد 1844 وبسایت بازدید شده از اتحادیه اروپا و 2950 وبسایت بازدید شده از ایالات متحده به این اشخاص ثالث منتقل میشود.
محققان در یافتههای خود نوشتند: «ما جمعآوری رمز عبور تصادفی را در 52 وبسایت توسط اسکریپتهای پخش مجدد جلسه شخص ثالث پیدا کردیم» و افزودند که این مشکلات بعداً به لطف افشای آنها برطرف شد.
در تحقیقات بعدی متوجه شدیم که متا (فیسبوک سابق) و TikTok اطلاعات شخصی هش شده را از فرمهای وب جمعآوری میکنند، حتی زمانی که کاربر فرم را ارسال نمیکند و رضایت نمیدهد.
به غیر از Meta و Tiktok، وبسایتهای برتر دیگری که آدرسهای ایمیل در آنها به دامنههای ردیاب درز میکردند، نامهای آشنای زیادی دارند: USA Today، Trello، Independent UK، Shopify و Marriot پنج مورد برتر بازدیدکنندگان اتحادیه اروپا بودند.
سایت های دیگر در 10 سایت برتر شامل وب سایت های نیوزویک، پرزی و کد آکادمی هستند که دو مورد آخر سایت های محبوب برای دانش آموزان هستند.
طبق اسناد Meta و TikTok، تطبیق پیشرفته خودکار باید هنگام ارسال فرم توسط کاربر، جمع آوری داده ها را آغاز کند. محققان دریافتند که برخلاف آنچه ادعا میشود، Meta و TikTok Pixel زمانی که کاربر روی پیوندها یا دکمههایی کلیک میکند که به هیچ وجه شبیه دکمه ارسال نیستند، دادههای شخصی هششده را جمعآوری میکنند.
در واقع، اسکریپتهای متا و تیک تاک حتی سعی نمیکنند دکمههای ارسال را تشخیص دهند یا به رویدادهای ارسال گوش دهند. میتوانید فهرست انتخابکنندههای بسیار گسترده و مشکوک مشابه آنها را مشاهده کنید، که مشخص میکند کدام عناصر صفحه جمعآوری دادهها را آغاز میکنند – این یعنی Meta و TikTok Pixel اطلاعات شخصی هششده را جمعآوری میکنند، حتی زمانی که کاربر تصمیم میگیرد فرمی را رها کند و روی دکمه یا پیوند کلیک کند. برای دور شدن از صفحه.”
گونش آکار، استاد و محقق گروه امنیت دیجیتال دانشگاه رادبود، در گفتگو با مجله ماهانه Wired، گفت که از نتایج مطالعه خود شگفت زده شده اند.
آکار گفت: «ما فکر میکردیم که شاید بتوانیم چند صد وبسایت را پیدا کنیم که قبل از ارسال ایمیل شما در آنها جمعآوری میشود، اما این بسیار فراتر از انتظارات ما بود.
بخش مد و زیبایی رایج ترین سایت هایی با چنین رفتارهایی، چه در ایالات متحده و چه در اروپا بودند، و پس از آن سایت های خرید آنلاین در رتبه دوم قرار گرفتند.
از نظر افرادی که دادهها را از وبسایتهای لو رفته جمعآوری میکنند، در اتحادیه اروپا، پنج متخلف برتر عبارتند از Taboola، Adobe، FinStory، Awin و Yandex. متا و تیک تاک همچنین دو شرکت بزرگ در میان دامنههای ردیابی بودند که دادههای کاربران، عمدتا ایمیلها را جمعآوری میکردند.
دامنههای ردیابی که پسوردها را در اتحادیه اروپا جمعآوری میکنند Yandex.com، Yandex.ru، mixpanel.com و lr-ingest.io بودند.
طبق گزارشها، سایتهای مربوطه رفتار آنلاین خود را پس از فاش شدن این مطالعه اصلاح کردند، اما محققان به صراحت گفتند که «بر اساس یافتههای ما، کاربران باید فرض کنند که اطلاعات شخصی که در فرمهای وب وارد میکنند میتواند توسط ردیابها جمعآوری شود – حتی اگر فرم هرگز ارسال نشود. “