Исследователи из трёх европейских университетов проанализировали работу 100 тысяч популярных сайтов, чтобы узнать, какие сценарии на них используются в процессе посещения ресурсов пользователями из Евросоюза и США; оказалось, что более четырёх тысяч сайтов собирают данные пользователей, введённые с клавиатуры, даже если человек не нажимает кнопку подтверждения для отправки набранного текста, пишет Wired в среду.
Так, 1844 сайта собирают электронные адреса европейцев, а 2950 – американских пользователей при помощи специальных форм, которые исследователи назвали «Leaky Forms» («формы с течью»; «формы, не обеспечивающие секретности»). При этом многие из этих сайтов явно получают эти данные не для себя – формы внедрены на страницы ресурсов третьими сторонами – маркетинговыми и аналитическими сервисами, которые и собирают информацию.
Также в мае 2021 исследователи нашли 52 сайта, которые кроме e-mail-адресов/логинов получали и пароли пользователей – даже до того, как человек нажмёт кнопку подтверждения (например, начав бронировать отель или оформлять подписку на новостную рассылку, а затем передумав и покинув страницу, ещё не совершив вход в сервис, но уже успев ввести логин/пароль). Авторы исследования оповестили эти сайты о проблеме, и к настоящему времени она исправлена.
Как отмечается в исследовании, «формы для утечек» на разных сайтах несколько отличаются: одни получают данные символ за символом в процессе их написания пользователем, другие целиком забирают введённое слово после того, как человек заполняет одну графу и переходит к следующей, – но в любом случае это ничем не отличается от так называемых клавиатурных шпионов (key loggers) – вредоносных программ, перехватывающих вводимую жертвой информацию с клавиатуры.
После завершения работы исследователи также обнаружили «странности» в работе Meta Pixel и TikTok Pixel – невидимых маркетинговых трекеров, которые сервисы внедряют на свои сайты, чтобы отслеживать перемещения пользователей по Интернету и показывать им рекламу. Оба инструмента в своей документации заявляют, что клиенты могут включить опцию «автоматическое продвинутое определение соответствия» (automatic advanced matching), запускающее процесс сбора данных, когда пользователь заполняет определённую форму и подтверждает отправку данных. На самом деле, отмечают исследователи, трекеры собирают хэшированные электронные адреса пользователей прежде, чем будет нажата кнопка согласия. Meta Pixel может делать это на 8438 сайтах для американцев и на 7379 сайтах – для европейцев. TikTok Pixel – на 154 и 147 соответственно.
Учёные оповестили о проблеме компании-владельцев трекеров (в конце марта и в конце апреля 2022), однако не имеют сведений, проведена ли работа по исправлению этих нарушений; на запрос Wired ответа также не было.
Исследователи отмечают, что электронная почта является очень «полезным» идентификатором для отслеживания пользователя – на разных сайтах, во время разных сессий, с мобильного или стационарного устройства – и поэтому сбор e-mail-адресов порождает риски для конфиденциальности.
Для повышения информированности пользователей и привлечения более широкого внимания к исследованию учёные создали Firefox-расширение – LeakInspector, которое должно предупреждать и защищать пользователей от незаконного сбора их данных.
