Alguém está sempre observando
Os pesquisadores analisaram os 100.000 sites mais populares e analisaram diferentes cenários – por exemplo, compararam o comportamento dos sites visitados pelos usuários durante sua estadia na UE e nos EUA.
Eles descobriram que 1.844 portais coletaram endereços de e-mail antes que os formulários fossem enviados e aprovados pelos usuários da UE. Para os Estados Unidos, foram 2.950. Muitos deles supostamente contêm software de marketing e análise de terceiros que coleta essas informações automaticamente.
Curiosamente, os pesquisadores também descobriram que as senhas de 52 sites foram coletadas inadvertidamente por scripts de reprodução de sessão externa. O grupo publicou suas descobertas nesses sites e todos os 52 casos foram resolvidos.
O estudo mostra que os sites utilizaram diferentes formas de coleta de dados. Alguns deles gravavam as teclas digitadas, enquanto outros extraíam relatórios completos de um campo à medida que os usuários clicavam no próximo.
Asuman Senol, pesquisador de privacidade e identidade da KU Leuven e um dos coautores do estudo, comentou:
Em alguns casos, quando você clica no próximo campo, eles coletam os anteriores, assim como você clica no campo de senha e coleta um e-mail, ou simplesmente clica em qualquer lugar e eles imediatamente coletam todas as informações. Não esperávamos encontrar milhares de sites; e nos EUA os números são muito altos, o que é interessante.
Durante a investigação, os pesquisadores também descobriram que o Meta (anteriormente Facebook) e o TikTok coletam dados pessoais criptografados de formulários da web, mesmo que o usuário opte por não enviar o formulário.
Seremos rastreados de forma ainda mais eficaz
Como Güneş Akar, professor e pesquisador do Digital Security Group da Radboud University e co-líder de pesquisa, enfatizou:
Se o seu formulário tiver um botão >> Enviar <<, é razoável esperar que ele faça alguma coisa – envie seus dados quando clicado. Ficamos muito surpresos com esses resultados. Achamos que poderíamos encontrar várias centenas de sites que coletam seu e-mail antes de enviá-lo, mas isso definitivamente superou nossas expectativas.
Ele também afirmou que o risco de privacidade para os usuários é que eles serão rastreados de forma ainda mais eficaz em sites, sessões, dispositivos móveis e desktops.
Um endereço de e-mail é um ID de rastreamento muito útil porque é global, exclusivo e persistente. Isso não pode ser apagado quando você exclui seus cookies. Este é um identificador muito poderoso.
Os pesquisadores planejam apresentar suas descobertas na conferência de segurança Usenix em agosto.
O que você acha dos resultados do estudo? Deixe-me saber nos comentários.
Fonte: wired.com, home.esat.kuleuven.be/~asenol/leaky-forms/
Deixe um comentário