Algunos de los 100 000 sitios web principales recopilan todo lo que escribe antes de hacer clic en Enviar

Cuando se suscribe a un boletín informativo, una reserva de hotel o un check-in en línea, probablemente lo admita si ingresa su correo electrónico tres veces incorrectamente. Nada sucede realmente hasta que haces clic en el botón Enviar, ¿verdad? Bueno, tal vez no. Como suele ocurrir con Internet, no siempre es así nueva investigaciónUna cantidad asombrosa de sitios web recopilan algunos o todos sus datos cuando los ingresa digitalmente.

Investigadores de KU Leuven, la Universidad de Radboud y la Universidad de Lausana rastrearon los 100 000 sitios principales, observando los escenarios en los que un usuario visita un sitio mientras se encuentra en la Unión Europea, visitando un sitio de los Estados Unidos. Descubrieron que 1.844 sitios web habían recopilado direcciones de correo electrónico de usuarios de la UE sin su consentimiento, y la asombrosa cantidad de 2.950 se habían registrado en la dirección de correo electrónico de EE. UU. La mayoría de los sitios no parecen registrar datos, pero incluyen servicios de análisis de marketing de terceros que generan comportamiento.

Después de rastrear sitios específicos de fuga de contraseñas en mayo de 2021, los investigadores también encontraron 52 sitios donde terceros, incluido el gigante tecnológico ruso Yandex, recopilaron accidentalmente información de contraseñas antes de que se introdujera. El grupo hizo sus hallazgos en estos sitios y los 52 casos se han resuelto desde entonces.

«Si hay un botón ‘Enviar’ en el papel, entonces la expectativa razonable es que hará algo. Presentará sus datos cuando haga clic en él ”, dice Gunesh Akar, uno de los investigadores principales e investigadores de la Universidad de Radboud. estudio. «Nos sorprendieron mucho estos resultados. Pensamos que podríamos encontrar algunos cientos de sitios web que recopilen su correo electrónico antes de que lo enviemos, pero eso superó con creces nuestras expectativas”.

Los investigadores que lo harán presente En sus revelaciones en la Conferencia de Seguridad de Usenix en agosto, dijeron que se sintieron inspirados para investigar lo que llamaron «huevos filtrados» a través de informes de los medios. en particular desde: Gizmodo:, sobre terceros que recopilan datos de caballos, independientemente del estado del envío. Señalan que, en esencia, el comportamiento es similar a los llamados keyloggers que son comunes Software malicioso que registra todo, qué tipo de objetivo es. Pero en los 1000 principales sitios principales, los usuarios probablemente no esperan que su información esté encriptada. Y en la práctica, los investigadores han visto varias fluctuaciones en el comportamiento. Algunos sitios ingresaron el botón de datos con solo hacer clic en un botón, pero muchos recopilaron envíos completos de un campo cuando los usuarios hicieron clic en el siguiente.

“En algunos casos, cuando haces clic en el siguiente campo, escriben el anterior, por ejemplo, cuando haces clic en el campo de la contraseña, escriben: «Envíe un correo electrónico o simplemente haga clic en cualquier lugar: recopilan toda la información de inmediato», dijo el defensor del pueblo de Asuman Senol. և Uno de los coautores del estudio U KU Leuven Identity Researcher և: «No esperábamos encontrar miles de sitios. Y en Estados Unidos hay realmente muchos números, lo cual es interesante».

Los investigadores dicen que las diferencias regionales pueden deberse a que las empresas son más cautelosas a la hora de recuperar usuarios, e incluso potencialmente se integran menos con terceros debido a las regulaciones generales de protección de datos de la UE. Pero enfatizan que esta es solo una posibilidad, և el estudio no estudió las explicaciones de la desigualdad.

Debido al considerable esfuerzo de notificar a los sitios de recopilación de datos de terceros de esta manera, los investigadores descubrieron que algunas explicaciones para la recopilación inesperada de datos pueden estar relacionadas con el desafío de distinguir la actividad de «enviar» de ciertas acciones de los usuarios en una web en particular. paginas Sin embargo, los investigadores señalan que esta no es una justificación adecuada para la privacidad.

Al finalizar papel:El grupo también descubrió Meta Pixel և TikTok Pixel, un rastreador de marketing invisible que los servicios colocan en sus sitios web para rastrear a los usuarios en Internet y mostrarles anuncios. Ambos afirmaron en sus documentos que los clientes podrían habilitar la «coincidencia avanzada automática», lo que activaría la recopilación de datos cuando un usuario enviara un voto. Sin embargo, en la práctica, los investigadores han descubierto que estos píxeles de rastreo capturan direcciones de correo electrónico pirateadas, una versión secreta de las direcciones de correo electrónico que se utilizan para identificar a los usuarios web en diferentes plataformas antes de enviarlas. 8438 sitios para usuarios de EE. UU. podrían filtrar datos a la empresa matriz de Facebook, Meta, a través de píxeles, 7379 sitios podrían afectar a los usuarios de la UE. Para TikTok Pixel, el grupo encontró 154 sitios para usuarios de EE. UU. y 147 para usuarios de la UE.

El 25 de marzo, los investigadores informaron un error a Meta y la empresa contrató rápidamente a un ingeniero, pero el grupo no ha recibido ninguna actualización desde entonces. Los investigadores le dijeron a TikTok el 21 de abril que habían descubierto recientemente el comportamiento de TikTok pero que no habían escuchado nada. Meta և TikTok no respondió de inmediato a una solicitud de comentarios sobre WIRED Discoveries.

«Los riesgos de privacidad para los usuarios son que serán seguidos de manera más efectiva. «Se pueden rastrear en diferentes sitios web, en diferentes sesiones, en el escritorio del móvil», dice Akar. «El correo electrónico es muy útil para realizar un seguimiento, ya que es global, único y permanente. No puedes limpiarlo como limpias tus cookies. Es un identificador muy poderoso».

Akar señala que a medida que las empresas de tecnología intentan eliminar gradualmente el seguimiento basado en cookies debido a problemas de privacidad, los especialistas en marketing y otros analistas confiarán cada vez más en identificaciones estáticas, como números de teléfono y direcciones de correo electrónico.

Porque los hallazgos muestran que eliminar los datos de la papelera antes de enviarlos puede no ser suficiente para protegerlo de toda la colección, encontraron los investigadores. extensión para firefox llamó a LeakInspector para detectar una colección de credenciales falsas. Y dicen que esperan que sus hallazgos generen conciencia sobre el problema, no solo para los usuarios habituales de la web, sino también para los webmasters y administradores que pueden verificar activamente si sus propios sistemas o los de terceros recopilan datos de caballos sin consentimiento.

Los pinchazos son una forma de recopilación de datos que debe evitarse en un entorno en línea ya saturado.

Esta historia apareció desde el principio. wired.com:.