כשאתם נרשמים לניוזלטר, מבצעים הזמנה במלון או צ'ק-אאוט באינטרנט, אתם כנראה לוקחים כמובן מאליו שאם אתם מקלידים את כתובת הדוא"ל שלכם בטעות שלוש פעמים או משנים את דעתכם וסוגרים את הדף, זה לא משנה. שום דבר לא קורה עד שאתם לוחצים על כפתור "שלח", נכון? אז אולי לא. כמו בכל כך הרבה הנחות לגבי האינטרנט, זה לא תמיד המקרה, על פי מחקר חדש: מספר מפתיע של אתרים אוספים חלק מהנתונים שלכם או את כולם בזמן שאתם מקלידים אותם בצורה דיגיטלית.
חוקרים מ-KU Leuven, אוניברסיטת רדבאונד ואוניברסיטת לוזאן סרקו וניתחו את 100,000 האתרים המובילים בעולם, תוך שהם בדקו תרחישים שבהם משתמש מבקר באתר בזמן שהותו באיחוד האירופי ומבקר באתר מארה"ב. הם גילו ש-1,844 אתרי אינטרנט אספו כתובת אימייל של משתמש באיחוד האירופי ללא הסכמתו, ו-2,950 רשמו אימייל של משתמש אמריקאי בצורה כלשהי. נראה כי רבים מהאתרים אינם מתכוונים לבצע את רישום הנתונים, אלא משלבים שירותי שיווק וניתוח של צד שלישי אשר גורמים לכך.
לאחר סריקה ספציפית של אתרים לאיתור דליפות סיסמאות במאי 2021, החוקרים מצאו גם 52 אתרים שבהם צדדים שלישיים, כולל ענקית הטכנולוגיה הרוסית Yandex, אספו נתוני סיסמאות לפני שהגולש הסכים לכך. הקבוצה חשפה את ממצאיה לאתרים אלה, וכל 52 המקרים נפתרו מאז.
"אם יש כפתור שלח בטופס, הציפייה הסבירה היא שהוא יעשה משהו - שהוא ישלח את הנתונים שלך כשתלחץ עליו", אומר גונז אקר, פרופסור וחוקר בקבוצת האבטחה הדיגיטלית של אוניברסיטת רדבאונד ואחד המובילים של המחקר. "הופתענו מאוד מהתוצאות האלה. חשבנו שאולי אנחנו הולכים למצוא כמה מאות אתרים שבהם האימייל שלך נאסף לפני שאתה שולח, אבל זה עלה בהרבה על הציפיות שלנו."
החוקרים, שיציגו את ממצאיהם בכנס האבטחה של Usenix באוגוסט, אומרים שהם קיבלו השראה לחקור את מה שהם מכנים "טפסים דולפים" מדיווחים בתקשורת, במיוחד מהאתר גיזמודו, על צדדים שלישיים שאוספים נתוני טפסים ללא קשר לסטטוס ההגשה. הם מציינים שבבסיסה, ההתנהגות דומה למה שנקרא רישום הקשות מקלדת, שהם בדרך כלל תוכנות זדוניות שמתעדות את כל מה שמקליד יעד. אבל באתרי מיינסטרים בטופ 1,000, סביר להניח שהמשתמשים לא יצפו שהמידע שהם מקלידים יירשם. בפועל, החוקרים ראו כמה וריאציות של ההתנהגות. חלק מהאתרים רשמו הקשות אחר הקשות, אך רבים תפסו הגשות שלמות משדה אחד כאשר משתמשים לחצו לשדה הבא.
"במקרים מסוימים, כאשר אתה לוחץ על השדה הבא, הם אוספים את השדה הקודם, כמו שאתה לוחץ על שדה הסיסמה והם אוספים את האימייל, או שאתה פשוט לוחץ בכל מקום והם אוספים את כל המידע באופן מידי", אומר אסומן סמול, חוקר פרטיות וזהות ב-KU Leuven ואחד ממחברי המחקר. "לא ציפינו למצוא אלפי אתרים; ובארה"ב, המספרים ממש גבוהים, וזה מעניין".
החוקרים אומרים שההבדלים האזוריים עשויים להיות קשורים לכך שחברות זהירות יותר לגבי מעקב אחר משתמשים, ואף עשויות להשתמש פחות בצדדים שלישיים, בגלל תקנת הגנת המידע הכללית של האיחוד האירופי. אבל הם מדגישים שזו רק אפשרות אחת, והמחקר לא בדק הסברים לפער.
באמצעות מאמץ משמעותי להודיע לאתרים ולצדדים שלישיים האוספים נתונים בדרך זו, החוקרים מצאו כי הסבר אחד לחלק מאיסוף הנתונים הבלתי צפוי עשוי להיות קשור לאתגר להבדיל בין פעולת "האישור" לבין פעולות משתמש אחרות בחלק מדפי האינטרנט. אבל החוקרים מדגישים שמבחינת פרטיות, אין זו הצדקה מספקת.
מאז שסיימה את עבודתה, לקבוצה הייתה גם תגלית על Meta Pixel ו-TikTok Pixel, כלי מעקב שיווקיים בלתי נראים ששירותיהם מוטמעים באתרים שלהם כדי לעקוב אחר משתמשים ברחבי האינטרנט ולהציג להם מודעות. שתיהן טענו במסמכים שלהם שלקוח יכול להפעיל "התאמה מתקדמת אוטומטית", שתפעיל איסוף נתונים כאשר משתמש שלח טופס. אולם בפועל, החוקרים גילו שפיקסלים למעקב רשמו כתובות אימייל מגובבות, גרסה מעורפלת של כתובות דוא"ל המשמשות לזיהוי משתמשי אינטרנט בפלטפורמות, לפני ההגשה. עבור משתמשים בארה"ב, ייתכן ש-8,438 אתרים הדליפו נתונים למטא, חברת האם של פייסבוק, דרך פיקסלים, ו-7,379 אתרים עשויים להיות מושפעים עבור משתמשי האיחוד האירופי. עבור TikTok Pixel, הקבוצה מצאה 154 אתרים למשתמשים בארה"ב ו-147 למשתמשים באיחוד האירופי.
החוקרים הגישו דוח באג לחברת מטא ב-25 במרץ, והחברה הקצתה במהירות מהנדס למקרה, אך הקבוצה לא שמעה עדכון מאז. החוקרים הודיעו לטיקטוק ב-21 באפריל ולא שמעו מהם בחזרה.
"סיכוני הפרטיות עבור המשתמשים הם שהמעקב אחריהם יהיה אפילו יותר יעיל. ניתן לעקוב אחריהם באתרי אינטרנט שונים, בהפעלות שונות, במובייל ובשולחן העבודה", אומר אקר. "כתובת דוא"ל היא סימן מזהה כל כך שימושי למעקב, מכיוון שהיא גלובלית, היא ייחודית, היא קבועה. אתה לא יכול לנקות את זה כמו שאתה מנקה את העוגיות שלך. זה סימן מזהה חזק מאוד".