اشکال درز: مطالعه نشان می دهد که هزاران وب سایت داده های شخصی را با تبلیغ کنندگان به اشتراک می گذارند

هزاران وب‌سایت میزبان فرم‌های آنلاین، داده‌های وارد شده به آن‌ها را به‌طور زنده قبل از ارسال دریافت می‌کنند و سپس داده‌های شناسایی را در اختیار کارگزاران داده، تبلیغ‌کنندگان و شرکت‌های بازاریابی شخص ثالث قرار می‌دهند.

این افشاگری در یک مطالعه جدید توسط محققان دانشگاه KU Leuven، دانشگاه رادبود و دانشگاه لوزان انجام شد. این نشان داد که آدرس‌های ایمیل کاربران قبل از ارسال فرم‌ها و قبل از اعلام رضایت در مورد 1844 وب‌سایت بازدید شده از اتحادیه اروپا و 2950 وب‌سایت بازدید شده از ایالات متحده به این اشخاص ثالث منتقل می‌شود.

محققان در یافته‌های خود نوشتند: «ما جمع‌آوری رمز عبور تصادفی را در 52 وب‌سایت توسط اسکریپت‌های پخش مجدد جلسه شخص ثالث پیدا کردیم» و افزودند که این مشکلات بعداً به لطف افشای آنها برطرف شد.

در تحقیقات بعدی متوجه شدیم که متا (فیسبوک سابق) و TikTok اطلاعات شخصی هش شده را از فرم‌های وب جمع‌آوری می‌کنند، حتی زمانی که کاربر فرم را ارسال نمی‌کند و رضایت نمی‌دهد.

به غیر از Meta و Tiktok، وب‌سایت‌های برتر دیگری که آدرس‌های ایمیل در آن‌ها به دامنه‌های ردیاب درز می‌کردند، نام‌های آشنای زیادی دارند: USA Today، Trello، Independent UK، Shopify و Marriot پنج مورد برتر بازدیدکنندگان اتحادیه اروپا بودند.

سایت های دیگر در 10 سایت برتر شامل وب سایت های نیوزویک، پرزی و کد آکادمی هستند که دو مورد آخر سایت های محبوب برای دانش آموزان هستند.

طبق اسناد Meta و TikTok، تطبیق پیشرفته خودکار باید هنگام ارسال فرم توسط کاربر، جمع آوری داده ها را آغاز کند. محققان دریافتند که برخلاف آنچه ادعا می‌شود، Meta و TikTok Pixel زمانی که کاربر روی پیوندها یا دکمه‌هایی کلیک می‌کند که به هیچ وجه شبیه دکمه ارسال نیستند، داده‌های شخصی هش‌شده را جمع‌آوری می‌کنند.

در واقع، اسکریپت‌های متا و تیک تاک حتی سعی نمی‌کنند دکمه‌های ارسال را تشخیص دهند یا به رویدادهای ارسال گوش دهند. می‌توانید فهرست انتخاب‌کننده‌های بسیار گسترده و مشکوک مشابه آن‌ها را مشاهده کنید، که مشخص می‌کند کدام عناصر صفحه جمع‌آوری داده‌ها را آغاز می‌کنند – این یعنی Meta و TikTok Pixel اطلاعات شخصی هش‌شده را جمع‌آوری می‌کنند، حتی زمانی که کاربر تصمیم می‌گیرد فرمی را رها کند و روی دکمه یا پیوند کلیک کند. برای دور شدن از صفحه.”

گونش آکار، استاد و محقق گروه امنیت دیجیتال دانشگاه رادبود، در گفتگو با مجله ماهانه Wired، گفت که از نتایج مطالعه خود شگفت زده شده اند.

آکار گفت: «ما فکر می‌کردیم که شاید بتوانیم چند صد وب‌سایت را پیدا کنیم که قبل از ارسال ایمیل شما در آنها جمع‌آوری می‌شود، اما این بسیار فراتر از انتظارات ما بود.

بخش مد و زیبایی رایج ترین سایت هایی با چنین رفتارهایی، چه در ایالات متحده و چه در اروپا بودند، و پس از آن سایت های خرید آنلاین در رتبه دوم قرار گرفتند.

از نظر افرادی که داده‌ها را از وب‌سایت‌های لو رفته جمع‌آوری می‌کنند، در اتحادیه اروپا، پنج متخلف برتر عبارتند از Taboola، Adobe، FinStory، Awin و Yandex. متا و تیک تاک همچنین دو شرکت بزرگ در میان دامنه‌های ردیابی بودند که داده‌های کاربران، عمدتا ایمیل‌ها را جمع‌آوری می‌کردند.

دامنه‌های ردیابی که پسوردها را در اتحادیه اروپا جمع‌آوری می‌کنند Yandex.com، Yandex.ru، mixpanel.com و lr-ingest.io بودند.

طبق گزارش‌ها، سایت‌های مربوطه رفتار آنلاین خود را پس از فاش شدن این مطالعه اصلاح کردند، اما محققان به صراحت گفتند که «بر اساس یافته‌های ما، کاربران باید فرض کنند که اطلاعات شخصی که در فرم‌های وب وارد می‌کنند می‌تواند توسط ردیاب‌ها جمع‌آوری شود – حتی اگر فرم هرگز ارسال نشود. “