Algunos de los 100 000 sitios web principales recopilan todo lo que escribe, antes de hacer clic en Enviar

Cuando se suscribe a un boletín informativo, hace una reserva de hotel o cierra sesión en línea, probablemente esté dando por sentado que si escribe mal su dirección de correo electrónico tres veces o cambia de opinión y abandona la página, no importa. No pasa nada hasta que presionas el botón Enviar, ¿verdad? Bueno, tal vez no. Como muchas suposiciones de red, este no siempre es el caso nueva investigaciónR: Sorprendentemente, muchos sitios recopilan parte o toda su información cuando la escribe digitalmente.

Investigadores de KU Leuven, Radboud University y University of Lausanne indexaron y analizaron los 100 000 sitios web más populares y observaron escenarios en los que un usuario visita el sitio mientras está en la Unión Europea y lo visita desde los Estados Unidos. Descubrieron que 1.844 sitios web recopilaron la dirección de correo electrónico de un usuario de la UE sin su consentimiento y 2.950 libros sorprendentes en alguna forma de correo electrónico de usuario de EE. UU. Aparentemente, muchos sitios no tienen la intención de realizar el registro de datos, pero incluyen servicios de marketing y análisis de terceros que provocan el comportamiento.

Después de indexar sitios específicamente para filtraciones de contraseñas en mayo de 2021, los investigadores también encontraron 52 sitios web donde terceros, incluido el gigante tecnológico ruso Yandex, recopilaron información de contraseñas al azar antes de publicarla. El grupo reveló sus hallazgos a estos sitios y desde entonces se han resuelto los 52 casos.

“Si el formulario tiene un botón Enviar, la expectativa razonable es que hará algo, que enviará su información cuando haga clic en él”, dice Güneş Acar, profesor e investigador del Grupo de Seguridad Digital de la Universidad de Radboud y uno de los líderes investigar. “Nos sorprendieron mucho estos resultados. Pensamos que podríamos encontrar algunos cientos de sitios web donde se recopila su correo electrónico antes de enviarlo, pero esto claramente superó nuestras expectativas”.

científicos que hacen presente Considerando que los resultados de la conferencia de seguridad de Usenix en agosto indican que los informes de los medios de comunicación les animaron a investigar “filtraciones de formularios”, especialmente desde gizmodo, de terceros que recopilan datos del formulario independientemente del estado del envío. Señalan que la operación es esencialmente similar a la llamada keyloggers que son típicamente malware que registran todos los tipos de objetos. Pero es poco probable que los usuarios de los 1.000 sitios más populares en la corriente principal esperen que se registren sus datos. Y en la práctica, los investigadores observaron algunas variaciones en el comportamiento. Algunos sitios registraron datos con solo tocar un botón, pero muchos hicieron clic para obtener resultados completos de un campo cuando los usuarios hicieron clic en el siguiente.

“En algunos casos, cuando haces clic en el siguiente campo, recopilan el anterior, como si haces clic en el campo de contraseña y recopilan el correo electrónico, o simplemente haces clic en cualquier cosa y recopilan todos los datos de inmediato”, dice Asuman Senol. , oficial de privacidad. e investigador de identidad en KU Leuven y uno de los autores del estudio. “No esperábamos encontrar miles de sitios web; y en los Estados Unidos, los números son realmente altos, lo cual es interesante”.

Según los investigadores, las diferencias regionales pueden deberse al hecho de que las empresas son más cautelosas a la hora de controlar a los usuarios y posiblemente integrarse en menos terceros debido a la normativa general de protección de datos de la UE. Pero enfatizan que esta es solo una posibilidad, y el estudio no examinó las explicaciones de la diferencia.

En un intento por informar a los sitios web y a terceros que recopilan datos de esta manera, los investigadores descubrieron que una explicación para algunas recopilaciones de datos inesperadas puede estar relacionada con el desafío de separar la función de “enviar” de otras acciones del usuario en una red en particular. paginas Pero los investigadores enfatizan que, desde la perspectiva de la privacidad, esto no es una justificación suficiente.

Después de la graduación papel, el grupo también descubrió Meta Pixel y TikTok Pixel, programas invisibles de seguimiento de marketing que los servicios integran en sus sitios web para rastrear a los usuarios en línea y mostrarles anuncios. Ambos argumentaron en sus documentos que los clientes podrían introducir una “coincidencia refinada automática” que activaría la recopilación de datos cuando un usuario envía un formulario. Sin embargo, en la práctica, los investigadores descubrieron que estos píxeles de seguimiento capturaban direcciones de correo electrónico condensadas, una versión encubierta de las direcciones de correo electrónico utilizadas para identificar a los usuarios de la red en diferentes plataformas, antes de enviarlas. Para los usuarios de EE. UU., 8438 sitios pueden haber filtrado datos a Meta, la empresa matriz de Facebook, a través de píxeles y 7379 sitios de usuarios de la UE. Para TikTok Pixel, el equipo encontró 154 sitios para usuarios de EE. UU. y 147 para usuarios de la UE.

Los investigadores presentaron un error a Meta el 25 de marzo y la compañía asignó rápidamente un ingeniero al caso, pero el equipo no ha recibido ninguna actualización desde entonces. Los investigadores informaron a TikTok el 21 de abril (recientemente notaron el comportamiento de TikTok) y no han recibido respuesta. Meta y TikTok no respondieron de inmediato la solicitud de WIRED de comentarios sobre los hallazgos.

“Los riesgos de privacidad de los usuarios son que están siendo rastreados de manera más efectiva; pueden ser rastreados en diferentes sitios web, en diferentes sesiones, en dispositivos móviles y en computadoras de escritorio”, dice Acar. Borras tus cookies. Es un identificador muy poderoso”.

Acar también señala que a medida que las empresas de tecnología buscan eliminar gradualmente el seguimiento basado en cookies por razones de privacidad, los especialistas en marketing y otros analistas confían cada vez más en identificadores estáticos, como números de teléfono y direcciones de correo electrónico.

Como los hallazgos muestran que eliminar información del formulario antes de enviarlo puede no ser suficiente para protegerse de cualquier recopilación, los investigadores crearon extensión para firefox llamó a LeakInspector para detectar una colección de formularios falsos. Dicen que esperan que sus hallazgos generen conciencia, no solo para los usuarios web comunes, sino también para los desarrolladores y administradores de sitios web, quienes pueden verificar de manera proactiva si sus propios sistemas o los de terceros que utilizan recopilan información de los formularios sin su consentimiento.

Los formularios con fugas son solo un tipo de recopilación de datos que debe tener en cuenta en un campo en línea que ya está muy congestionado.

Esta historia apareció originalmente Wired.com.