05/11/2022 - Um número surpreendente dos 100.000 principais sites inclui efetivamente keyloggers que capturam secretamente tudo o que você digita em um formulário. QUANDO VOCÊ SE INSCREVE para um boletim informativo, faz uma reserva de hotel ou faz check-out on-line, provavelmente dá como certo que, se digitar errado seu endereço de e-mail três vezes ou mudar de ideia e X sair da página, não importa. Nada realmente acontece até você clicar no botão Enviar, certo?
Bem, talvez não. Tal como acontece com tantas suposições sobre a web, esse nem sempre é o caso, de acordo com uma nova pesquisa: um número surpreendente de sites está coletando alguns ou todos os seus dados à medida que você os digita em um formato digital.
Pesquisadores da KU Leuven, Radboud University e University of Lausanne rastrearam e analisaram os 100.000 principais sites, analisando cenários em que um usuário está visitando um site na União Europeia e visitando um site dos Estados Unidos. Eles descobriram que 1.844 sites coletaram o endereço de e-mail de um usuário da UE sem seu consentimento, e impressionantes 2.950 registraram o e-mail de um usuário dos EUA de alguma forma. Muitos dos sites aparentemente não pretendem realizar o registro de dados, mas incorporam serviços de marketing e análise de terceiros que causam o comportamento.
Depois de rastrear sites especificamente para vazamentos de senhas em maio de 2021, os pesquisadores também encontraram 52 sites nos quais terceiros, incluindo a gigante russa de tecnologia Yandex, estavam coletando dados de senha antes do envio. O grupo divulgou suas descobertas a esses sites e todas as 52 instâncias foram resolvidas desde então.
“Se houver um botão Enviar em um formulário, a expectativa razoável é que ele faça alguma coisa – que envie seus dados quando você clicar nele”, diz Güneş Acar, professor e pesquisador do grupo de segurança digital da Radboud University e um dos líderes do estudo. “Ficamos super surpresos com esses resultados. Pensamos que talvez encontraríamos algumas centenas de sites onde seu e-mail é coletado antes de você enviar, mas isso superou nossas expectativas de longe.”
Os pesquisadores, que apresentarão suas descobertas na conferência de segurança Usenix em agosto, dizem que foram inspirados a investigar o que chamam de “formulários vazados” por reportagens da mídia, principalmente do Gizmodo, sobre terceiros coletando dados de formulários, independentemente do status do envio. Eles apontam que, em sua essência, o comportamento é semelhante aos chamados keyloggers, que normalmente são programas maliciosos que registram tudo o que um alvo digita. Mas em um site mainstream top 1.000, os usuários provavelmente não esperarão ter suas informações registradas. E, na prática, os pesquisadores viram algumas variações do comportamento. Alguns sites registraram dados digitados por digitação, mas muitos obtiveram envios completos de um campo quando os usuários clicavam no próximo.
“Em alguns casos, quando você clica no próximo campo, eles coletam o anterior, como você clica no campo de senha e eles coletam o e-mail, ou você simplesmente clica em qualquer lugar e eles coletam todas as informações imediatamente”, diz Asuman Senol, especialista em privacidade. e pesquisador de identidade na KU Leuven e um dos coautores do estudo. "Não esperávamos encontrar milhares de sites; e nos EUA, os números são realmente altos, o que é interessante”,
Os pesquisadores dizem que as diferenças regionais podem estar relacionadas ao fato de as empresas serem mais cautelosas com o rastreamento de usuários e até mesmo potencialmente se integrarem com menos terceiros, por causa do Regulamento Geral de Proteção de Dados da UE. Mas eles enfatizam que esta é apenas uma possibilidade, e o estudo não examinou explicações para a disparidade.
Leia também - Bateria nuclear usa diamante sintético e pode gerar eletricidade eterna
Por meio de um esforço substancial para notificar sites e terceiros que coletam dados dessa maneira, os pesquisadores descobriram que uma explicação para algumas das coletas inesperadas de dados pode ter a ver com o desafio de diferenciar uma ação de “enviar” de outras ações do usuário em determinada web Páginas. Mas os pesquisadores enfatizam que, do ponto de vista da privacidade, essa não é uma justificativa adequada.
Desde a conclusão do artigo, o grupo também teve uma descoberta sobre o Meta Pixel e o TikTok Pixel, rastreadores de marketing invisíveis que os serviços incorporam em seus sites para rastrear usuários na web e mostrar anúncios. Ambos alegaram em sua documentação que um cliente poderia ativar a “correspondência avançada automática”, o que acionaria a coleta de dados quando um usuário enviasse um formulário. Na prática, porém, os pesquisadores descobriram que esses pixels de rastreamento estavam capturando endereços de e-mail com hash, uma versão obscura de endereços de e-mail usados para identificar usuários da Web em todas as plataformas, antes do envio. Para usuários dos EUA, 8.438 sites podem ter vazado dados para a Meta, empresa controladora do Facebook, por meio de pixels, e 7.379 sites podem ser afetados para usuários da UE. Para o TikTok Pixel, o grupo encontrou 154 sites para usuários dos EUA e 147 para usuários da UE.
Os pesquisadores registraram um relatório de bug com a Meta em 25 de março, e a empresa rapidamente designou um engenheiro para o caso, mas o grupo não recebeu nenhuma atualização desde então. Os pesquisadores notificaram o TikTok em 21 de abril - eles descobriram o comportamento do TikTok mais recentemente - e não tiveram retorno. Meta e TikTok não retornaram imediatamente o pedido de comentário da WIRED sobre as descobertas.
“Os riscos de privacidade para os usuários são que eles serão rastreados de forma ainda mais eficiente; eles podem ser rastreados em diferentes sites, em diferentes sessões, em dispositivos móveis e desktops”, diz Acar. “Um endereço de e-mail é um identificador tão útil para rastreamento, porque é global, é único, é constante. Você não pode limpá-lo como limpa seus cookies. É um identificador muito poderoso.”
Acar também aponta que, à medida que as empresas de tecnologia procuram eliminar gradualmente o rastreamento baseado em cookies em um aceno às preocupações com a privacidade, os profissionais de marketing e outros analistas dependerão cada vez mais de IDs estáticos, como números de telefone e endereços de e-mail.
Como as descobertas indicam que a exclusão de dados em um formulário antes de enviá-lo pode não ser suficiente para se proteger de todas as coletas, os pesquisadores criaram uma extensão do Firefox chamada LeakInspector para detectar coletas de formulários não autorizadas. E eles dizem que esperam que suas descobertas aumentem a conscientização sobre o problema, não apenas para usuários regulares da Web, mas também para desenvolvedores e administradores de sites que podem verificar proativamente se seus próprios sistemas ou qualquer um dos terceiros que estão usando estão coletando dados de formulários sem consentimento.
Os formulários com vazamento são apenas mais um tipo de coleta de dados a ser cauteloso em um campo on-line já extremamente lotado.
Fonte: https://www.wired.com/