一项广泛的研究表明,甚至在您按下“提交”之前,多达 3% 的网站可能会收集您的表单输入。没错——即使你输入了一些内容然后删除了它,这些网站仍然会记录你的击键并记住你选择不输入的内容。
在您不知情和同意的情况下收集的数据可能包含一些最个人的信息,这些信息以后可用于各种目的,例如定向广告。
这项研究的标题是“泄露表格:提交表格之前的电子邮件和密码泄露研究”,由大学研究人员对全球排名最高的 100,000 个网站的大样本进行,总计 280 万个页。
研究人员使用网站爬虫(基于 DuckDuckGo 的 Tracker Radar Collector)搜索互联网并返回惊人的结果。尽管我们大多数人都认为网站只记录我们在提交时输入的内容,但似乎在 100,000 个抽样的网站中多达 2,950 个网站,这根本不是真的。似乎高达 3% 的时间,跟踪器从输入表单的那一刻起就收集数据。
网站使用跟踪器的原因有很多,但在大多数情况下,它们用于个性化您的浏览体验以及收集有关访问者活动的信息。理论上,这应该是匿名的,但当然,个人标识符会缩小很多范围。
跟踪器很有用,因为它们可以让网站知道用户最感兴趣的内容类型。但是,第三方跟踪器用于帮助广告商确保您看到的广告是有针对性的,这意味着您更有可能点击并购买东西。
研究中使用的爬虫配备了机器学习分类器,该分类器之前经过训练可以检测电子邮件和密码字段,然后拦截对这些字段的任何潜在脚本访问。似乎许多第三方跟踪器使用脚本来监控访问者在表单中键入时的击键。如果跟踪器在提交之前保存信息,其中一些将能够在未经用户同意的情况下收集电子邮件地址和密码。
一些第三方跟踪器能够在提交任何内容之前收集击键和数据,这一事实绝对令人担忧。据研究人员称,这个问题影响了一小部分跟踪器,但它们在网络上相当普遍。最大的罪魁祸首是 LiveRamp(662 个网站)、Taboola(383 个)、Verizon(255 个)和 Bizible(191 个)。这些跟踪器存在于记录电子邮件地址的网站上。在窃取密码方面,Yandex 跟踪器位居榜首。
该研究的一个有趣因素是,与美国用户相比,欧洲用户遭受的电子邮件/密码提取尝试更少。当从欧洲访问时,只有 1,844 个网站允许跟踪器执行此操作,而美国用户为 2,950 个。
欧洲的用户受到 GDPR 的保护,这是一套关于个人数据的法律法规。根据这项研究,通过跟踪器进行的电子邮件泄露违反了至少三项 GDPR 法律。违反 GDPR 可能导致高达 2000 万欧元或高达相关实体全球年营业额的 4% 的巨额罚款。
该研究的亮点由研究人员发布,同时还为那些想要了解更多信息的人提供了一个完整的、更具技术性的版本。这首先由Bleeping Computer共享。需要注意的是,列出的第一方和第三方中有一半回应了研究人员并声称收集是由于错误造成的。
如果您想保护自己免受类似跟踪器的侵害,最好完全禁用第三方跟踪器 – 您可以在浏览器设置中执行此操作。每隔一段时间更改一次密码也被认为是一种很好的做法。如果您要处理许多定期更改的不同密码,密码管理器会很有帮助。