ترکر های وب شرکت ثالث آنچه شما تایپ میکنید را پیش از تایید کردن ذخیره میکنند.

ترکر های وب شرکت ثالث آنچه شما تایپ میکنید را پیش از تایید کردن ذخیره میکنند.

در طی یک مطالعه وسیع در میان 100 هزار سایت برتر، مشخص شده است که بخش زیادی از اطلاعاتی که شما در فرم های سایت ها وارد میکنید را حتی قبل از تایید کردن توسط شما، ذخیره میکنند.

در طی یک مطالعه وسیع در میان 100 هزار سایت برتر، مشخص شده است که بخش زیادی از اطلاعاتی که شما در فرم های سایت ها وارد میکنید را حتی قبل از تایید کردن توسط شما، ذخیره میکنند.
این دیتای نشت شده شامل اطلاعات شخصی، آدرس های ایمیل ها، نام کاربری، رمز های عبور، یا حتی پیام هایی که در فرم ها وارد کرده اید و سپس حذف کرده اید، بدون اینکه آن ها را تایید کرده باشید.
این نشت اطلاعات پنهان است به این دلیل که کاربران اینترنت بطور خودکار فرض میکنند که اطلاعاتی که تایپ میکنند به صورت پیشفرض ذخیره نمیشود تا هنگامی که تایید نکنند، اما تقریبا برای 3 درصد از سایت های تست شده، اینطور نبوده است.

مشاهدات هشدار دهنده
این مطالعه توسط محققان دانشگاهی انجام شد که آن ها از crawler که براساس ابزار DuckDuckGo’s Tracker radar Collector کار میکند برای مانیتور کردن فعالیت های exfiltration استفاده کردند.
نتایج در این وبسایت خلاصه شده است، در حالی که محققان نسخه ی فنی را برای کسانی که علاقه مند مطالعه دقیق تری هستند منتشر کرده است.

tracker

این تحقیق در حدود 2.8 میلیون صفحه در بین صد هزار سایت برتر را تست کرده است و متوجه شده اند که 1844 وبسایت به ترکر ها اجازه ی exfiltrate کردن آدرس های ایمیل را بیش از تایید کردن آن میدهند، هنگامی که بازدید کننده از اروپا باشند.
اگرچه، هنگامی که همان سایت ها را از آمریکا بازدید شوند، سایت هایی که اطلاعات را جمع میکنند به 2950 تا تغییر میکنند.
در آخر، محققان تعیین کرده اند که 52 سایت رمز های عبور را به همین روش جمع آوری میکنند، اما همه آن ها به مشکل پس از دریافت گزارش محققان اشاره کردند.
چه کسانی اطلاعات را دریافت میکند؟
هدف ترکر های وبسایت این است که فعالیت کاربران را رصد کند، اطلاعات جمع آوری شده را به موضوع های تبلیغاتی ارتباط دهد، فعالیت ها را ثبت کند و یک ID ناشناس ( از نظر تئوری ) برای فرد در نظر بگیرد.
سایت ها از ترکر جهت فراهم آوردن یک تجربه شخصی سازی شده آنلاین برای کاربر ها استفاده میکنند، ولی آن ها همچنین به ترکر های شرکت ثالث کمک میکنند تا تبلیغ های بهتری برای مشتریان فراهم کنند و درآمد مالی خود را افزایش دهند.

tracker

خیلی از این ترکر های شرکت ثالث از اسکریپت هایی استفاده میکنند تا از keystroke برای مانیتور کردن داخل فرم ها استفاده کنند، و برای ذخیره محتوا، حتی قبل از زمانی که کاربر دکمه تایید را بزند.
اولین واکنش نسبت به جمع آوری اطلاعاتی که بر روی فرم های لاگین وارد شده است، از بین رفتن ناشناس بودن کاربران است، و در عین حال، حریم شخصی و ریسک های امنیتی بالا میرود.
دیتایی که توسط محققان دانشگاهی جمع آوری شده است نمایش میدهد که مشکل از تعداد محدودی ترکر هایی که در وب ها پخش شده اند سرچشمه میگیرد.
برای مثال، ترکر LiveRamp در 662 سایت که آدرس های ایمیل وارد شده اند استفاده شده است، Taboola در 383 سایت استفاده شده بود، Verizon اطلاعات را از 255 سایت جمع آوری میکرده است، و Adobe Bizible در 191 سایت مشغول به فعالیت بوده است.

tracker

در زمینه جمع آوری رمز عبور، Yandex بیشترین تعداد را داشته است.
نیمی از شرکت های ثالث و یا مالک به محققان با نظر و توضیحات پاسخ داده اند، جمع آوری اطلاعات اشتباه بوده است.
عامل GDPR
تفاوت آمار بین آمریکا و اروپا به حضور GDPR بستگی داشته است، یک رگالاتوری آنلاین محتوا برای محافظت از اطلاعات شخصی شهروندان اروپایی توسط موجودیت های آنلاین بوده است.
مورد موافقت کردن اینجا بستگی به افشای اطلاعات جمع آوری شده از از اطلاعات وارد شده در فرم وبسایت ها داشته، که باید به صورت دقیق و شفاف توضیح داده شود.
برای مثال، "ما اطلاعات شخصی شما را با همکاران مارکتینگ انتخاب شده به اشتراک میگذاریم" برای GDPR قابل قبول نیست!
با توجه به مطالعه، ایمیل exfiltration توسط شرکت های ثالث حداقل سه نیاز GDPR را نقض میکنند.
زیر پا گذاشتن GDPR تا 20 میلیون یورو میتواند هزینه داشته باشد.
چه کاری کاربران میتوانند انجام دهند؟
بهترین کار برای رفع این مشکل این است تمام ترکر های شرکت ثالث از طریق بلاکر داخلی مرورگر بلاک شوند. تمام مرورگر های مشهور در داخل خود بلاکر دارند، و شما میتوانید در قسمت حریم شخصی این بخش را مشاهده نمایید.
در اضافه، سرویس های ریلی ایمیل های خصوصی به کاربران این قابلیت را میدهند تا ایمیل مستعار ایجاد کنند، حتی اگر کسی آن را بردارد، شناسایی غیر ممکن خواهد بود.
در نهایت، برای کسانی که میخواهند یک قدم کاملتر بردارند، محققان یک افزونه مرورگر به نام Leak Inspector ایجاد و منتشر کرده اند، که اتفاقات exfiltration را در هر سایتی مانیتور میکند و کاربران گزارش میدهد.

منبع : www.bleepingcomputer.com