Einige Top-100.000-Websites sammeln alles, was Sie eingeben – bevor Sie auf „Senden“ klicken

Wenn Sie sich für einen Newsletter anmelden, eine Hotelreservierung vornehmen oder online auschecken, gehen Sie wahrscheinlich davon aus, dass es keine Rolle spielt, wenn Sie Ihre E-Mail-Adresse dreimal falsch eingeben oder Ihre Meinung ändern und die Seite X verlassen. Eigentlich passiert nichts, bis Sie auf die Schaltfläche „Senden“ klicken, richtig? Nun, vielleicht nicht. Wie bei vielen Annahmen über das Internet ist dies laut nicht immer der Fall neue Forschung: Überraschend viele Websites sammeln einige oder alle Ihre Daten, während Sie sie in ein digitales Formular eingeben.

Forscher der KU Leuven, der Radboud University und der University of Lausanne durchsuchten und analysierten die Top-100.000-Websites und untersuchten Szenarien, in denen ein Benutzer eine Website besucht, während er sich in der Europäischen Union aufhält, und eine Website aus den Vereinigten Staaten besucht. Sie fanden heraus, dass 1.844 Websites die E-Mail-Adresse eines EU-Benutzers ohne deren Zustimmung sammelten und erstaunliche 2.950 die E-Mail eines US-Benutzers in irgendeiner Form protokollierten. Viele der Websites beabsichtigen anscheinend keine Datenprotokollierung, sondern integrieren Marketing- und Analysedienste von Drittanbietern, die das Verhalten verursachen.

Nachdem die Forscher im Mai 2021 Websites gezielt nach Passwortlecks durchsucht hatten, fanden sie auch 52 Websites, auf denen Dritte, darunter der russische Technologieriese Yandex, vor der Übermittlung zufällig Passwortdaten gesammelt hatten. Die Gruppe gab ihre Ergebnisse an diese Websites weiter, und alle 52 Fälle wurden seitdem gelöst.

„Wenn es auf einem Formular einen Senden-Button gibt, ist die vernünftige Erwartung, dass es etwas tut – dass es Ihre Daten übermittelt, wenn Sie darauf klicken“, sagt Güneş Acar, Professor und Forscher an der Digital Security Group der Radboud University und einer der Leiter des Studiums. „Wir waren super überrascht von diesen Ergebnissen. Wir dachten, wir würden vielleicht ein paar hundert Websites finden, auf denen Ihre E-Mails gesammelt werden, bevor Sie sie absenden, aber das hat unsere Erwartungen bei weitem übertroffen. ”

Die Forscher, die werden Geschenk Ihre Ergebnisse auf der Usenix-Sicherheitskonferenz im August besagen, dass sie durch Medienberichte dazu inspiriert wurden, das zu untersuchen, was sie „undichte Formulare“ nennen, insbesondere aus Gizmodo, über Dritte, die Formulardaten unabhängig vom Übermittlungsstatus sammeln. Sie weisen darauf hin, dass das Verhalten im Kern dem von sogenannten Keyloggern ähnelt, die normalerweise so sind bösartige Programme die alles protokollieren, was ein Zieltyp eingibt. Aber auf einer Mainstream-Top-1.000-Site erwarten Benutzer wahrscheinlich nicht, dass ihre Informationen per Keylogging erfasst werden. Und in der Praxis sahen die Forscher einige Variationen des Verhaltens. Einige Websites protokollierten Daten Tastendruck für Tastendruck, aber viele holten sich vollständige Übermittlungen aus einem Feld, wenn Benutzer auf das nächste klickten.

„Wenn Sie auf das nächste Feld klicken, sammeln sie in einigen Fällen das vorherige, so wie Sie auf das Passwortfeld klicken und sie die E-Mail sammeln, oder Sie klicken einfach irgendwo hin und sie sammeln sofort alle Informationen“, sagt Asuman Senol, ein Datenschutzbeauftragter und Identitätsforscher an der KU Leuven und einer der Co-Autoren der Studie.“Wir hatten nicht erwartet, Tausende von Websites zu finden; und in den USA sind die Zahlen wirklich hoch, was interessant ist.“

Die Forscher sagen, dass die regionalen Unterschiede möglicherweise damit zusammenhängen, dass Unternehmen aufgrund der EU-Datenschutz-Grundverordnung vorsichtiger in Bezug auf die Benutzerverfolgung sind und möglicherweise sogar weniger Drittanbieter integrieren. Sie betonen jedoch, dass dies nur eine Möglichkeit ist und die Studie keine Erklärungen für die Unterschiede untersucht hat.

Durch erhebliche Bemühungen, Websites und Dritte, die Daten auf diese Weise sammeln, zu benachrichtigen, fanden die Forscher heraus, dass eine Erklärung für einige der unerwarteten Datensammlungen möglicherweise mit der Herausforderung zu tun hat, eine „Senden“-Aktion von anderen Benutzeraktionen auf bestimmten Websites zu unterscheiden Seiten. Die Forscher betonen jedoch, dass dies aus Sicht des Datenschutzes keine ausreichende Begründung ist.

Seit Abschluss der Papier, hatte die Gruppe auch eine Entdeckung über Meta Pixel und TikTok Pixel, unsichtbare Marketing-Tracker, die Dienste in ihre Websites einbetten, um Benutzer im gesamten Web zu verfolgen und ihnen Anzeigen zu zeigen. Beide behaupteten in ihrer Dokumentation, dass Kunden den „automatischen erweiterten Abgleich“ aktivieren könnten, was die Datenerfassung auslösen würde, wenn ein Benutzer ein Formular absendet. In der Praxis stellten die Forscher jedoch fest, dass diese Tracking-Pixel vor der Übermittlung gehashte E-Mail-Adressen erfassten, eine verschleierte Version von E-Mail-Adressen, die zur plattformübergreifenden Identifizierung von Webbenutzern verwendet wurden. Für US-Benutzer könnten 8.438 Websites über Pixel Daten an Meta, die Muttergesellschaft von Facebook, weitergegeben haben, und 7.379 Websites für EU-Benutzer könnten betroffen sein. Für TikTok Pixel fand die Gruppe 154 Websites für US-Benutzer und 147 für EU-Benutzer.

Die Forscher reichten am 25. März einen Fehlerbericht bei Meta ein, und das Unternehmen wies dem Fall schnell einen Ingenieur zu, aber die Gruppe hat seitdem kein Update gehört. Die Forscher benachrichtigten TikTok am 21. April – sie entdeckten das TikTok-Verhalten erst kürzlich – und haben keine Antwort erhalten. Meta und TikTok antworteten nicht sofort auf die Bitte von WIRED, sich zu den Ergebnissen zu äußern.

„Die Datenschutzrisiken für Benutzer bestehen darin, dass sie noch effizienter verfolgt werden; Sie können über verschiedene Websites, über verschiedene Sitzungen, über Mobilgeräte und Desktops hinweg verfolgt werden “, sagt Acar. „Eine E-Mail-Adresse ist eine so nützliche Kennung für die Nachverfolgung, weil sie global, einzigartig und konstant ist. Sie können es nicht löschen, wie Sie Ihre Cookies löschen. Es ist ein sehr mächtiger Identifikator.“

Acar weist auch darauf hin, dass sich Marketingfachleute und andere Analysten immer stärker auf statische IDs wie Telefonnummern und E-Mail-Adressen verlassen werden, da Technologieunternehmen versuchen, das Cookie-basierte Tracking aus Datenschutzgründen auslaufen zu lassen.

Da die Ergebnisse darauf hindeuten, dass das Löschen von Daten in einem Formular vor dem Absenden möglicherweise nicht ausreicht, um sich vor jeglicher Erfassung zu schützen, erstellten die Forscher a Firefox-Erweiterung namens LeakInspector, um die Sammlung betrügerischer Formulare zu erkennen. Und sie hoffen, dass ihre Ergebnisse das Bewusstsein für das Problem schärfen werden, nicht nur für normale Webbenutzer, sondern auch für Website-Entwickler und -Administratoren, die proaktiv prüfen können, ob ihre eigenen Systeme oder die von ihnen verwendeten Drittanbieter Daten aus Formularen ohne sammeln Zustimmung.

Undichte Formulare sind nur eine weitere Art der Datenerfassung, vor der Sie in einem bereits extrem überfüllten Online-Bereich vorsichtig sein sollten.

Diese Geschichte erschien ursprünglich auf Wired.com.

Leave a Reply

Your email address will not be published.