Trình theo dõi web đã chặn được biểu mẫu trực tuyến ngay cả trước khi người dùng nhấn gửi

Chặn biểu mẫu trực tuyến

Một nghiên cứu mới được công bố bởi các học giả từ KU Leuven, Đại học Radboud và Đại học Lausanne đã tiết lộ rằng địa chỉ email của người dùng được chuyển sang các miền theo dõi, tiếp thị và phân tích trước khi chúng được gửi đi và không có sự đồng ý trước.

Nghiên cứu liên quan đến việc thu thập 2,8 triệu trang từ 100 trang web hàng đầu và phát hiện ra rằng có tới 1.844 trang web cho phép trình theo dõi nắm bắt địa chỉ email trước khi gửi biểu mẫu ở Liên minh Châu Âu, con số đã tăng lên 2.950 khi cùng một nhóm trang web được truy cập từ Mỹ

Các nhà nghiên cứu cho biết: “Các email (hoặc mã băm của chúng) đã được gửi đến 174 miền riêng biệt (eTLD + 1) ở Hoa Kỳ và 157 miền riêng biệt trong quá trình thu thập thông tin của EU. Hơn nữa, 52 trang web được xác định là đang thu thập mật khẩu theo cách tương tự, một vấn đề đã được giải quyết sau khi tiết lộ có trách nhiệm.

LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta, TikTok, Salesforce, Listrak và Oracle là một số trình theo dõi của bên thứ ba hàng đầu đã được phát hiện ghi địa chỉ email, trong khi Yandex, Mixpanel và LogRocket dẫn đầu danh sách về mật khẩu -loại thể loại.

Địa chỉ email có một số lợi thế. Chúng không chỉ độc đáo, cho phép bên thứ ba theo dõi người dùng trên các thiết bị, nó còn có thể được sử dụng để phù hợp với các hoạt động trực tuyến và ngoại tuyến của họ, chẳng hạn như trong các tình huống họ thực hiện mua hàng tại cửa hàng yêu cầu họ chia sẻ địa chỉ email hoặc đăng ký thẻ khách hàng thân thiết.

Xem tiếp:   Tấn công trình duyệt mới trong trình duyệt (BITB) khiến cho hành vi lừa đảo gần như không thể phát hiện được

Ý tưởng đằng sau việc thu thập các địa chỉ email được nhập trong các biểu mẫu trực tuyến, ngay cả trong trường hợp người dùng không gửi bất kỳ biểu mẫu nào, cũng đã được thúc đẩy bởi nỗ lực liên tục của các nhà cung cấp trình duyệt nhằm giảm hỗ trợ cho cookie của bên thứ ba, buộc các nhà tiếp thị phải tìm kiếm các mã nhận dạng tĩnh thay thế để theo dõi người dùng.

Đây không phải là lần đầu tiên một mối quan tâm như vậy được nêu ra. Vào tháng 6 năm 2017, Gizmodo đã phát hiện ra rằng một bên thứ ba có tên là NaviStone đang thu thập thông tin cá nhân từ các biểu mẫu máy tính thế chấp trước khi họ gửi, với rất ít trang web tiết lộ rõ ​​ràng hoạt động này trong chính sách bảo mật của họ.

Các nhà nghiên cứu cho biết, trong 5 năm sau, không có nhiều thay đổi, các trang web liên quan đến thời trang / làm đẹp, mua sắm trực tuyến và tin tức tổng hợp nổi lên như một danh mục hàng đầu có nhiều “hình thức rò rỉ” nhất.

“Mặc dù điền vào các trường email trên hàng trăm trang web được phân loại là khiêu dâm, chúng tôi không có một email nào bị rò rỉ”, kết quả cho thấy, lưu ý rằng nó phù hợp với các nghiên cứu trước đây cho thấy rằng các trang web người lớn có tương đối ít trình theo dõi của bên thứ ba hơn khi so sánh với các trang web chung với mức độ phổ biến tương đương.

Xem tiếp:   Báo cáo sự cố mới tiết lộ cách Hive Ransomware nhắm mục tiêu vào các tổ chức

Hơn nữa, hoạt động như vậy có thể vi phạm ít nhất ba yêu cầu khác nhau của Quy định chung về dữ liệu (GDPR) ở Liên minh Châu Âu, vi phạm các nguyên tắc về tính minh bạch, giới hạn mục đích và sự đồng ý của người dùng.

Các nhà nghiên cứu kết luận: “Người dùng nên cho rằng thông tin cá nhân mà họ nhập vào các biểu mẫu web có thể bị thu thập bởi các trình theo dõi — ngay cả khi biểu mẫu không bao giờ được gửi”, các nhà nghiên cứu kết luận, đồng thời kêu gọi một cuộc điều tra thêm từ các nhà cung cấp trình duyệt, nhà phát triển công cụ quyền riêng tư và các cơ quan bảo vệ dữ liệu.

.

Related Posts

Check Also

Shadow ID là gì và chúng quan trọng như thế nào vào năm 2022?

Ngay trước lễ Giáng sinh năm ngoái, trong một trường hợp đầu tiên, JPMorgan đã …