誰かがいつも見ている
研究者は、最も人気のある100,000のWebサイトを分析し、さまざまなシナリオを調べまし た。たとえば、EUと米国に滞在中にユーザーがアクセスしたWebサイトの動作を比較しました。
彼らは、フォームが送信されてEUユーザーによって承認される前に、1,844のポータルが電子メールアドレスを収集したことを発見しました。米国の場合、それは2950年でした。それらの多くには、この情報を自動的に収集するサードパーティのマーケティングおよび分析ソフトウェアが含まれていると報告されています。
興味深いことに、研究者たちは、52のWebサイトのパスワードが、外部のセッション再生スクリプトによって誤って収集されたことも発見しました。グループはこれらのサイトで調査結果を公開し、52件すべてが解決されたと報告されています。
この調査では、Webサイトがさまざまな方法でデータを収集していることが示されています。キーストロークを記録したものもあれば、ユーザーが次のフィールドをクリックしたときに1つのフィールドから完全なレポートを取得したものもあります。
KU Leuvenのプライバシーとアイデンティティの研究者であり、この研究の共著者の1人であるAsuman Senolは、次のようにコメントしています。
場合によっては、次のフィールドをクリックすると、パスワードフィールドをクリックしてメールを収集するのと同じように、前のフィールドが収集されます。または、どこかをクリックするだけで、すぐにすべての情報が収集されます。何千ものWebサイトが見つかるとは思っていませんでした。そして米国ではその数は本当に多く、それは興味深いことです。
調査中に、研究者は、ユーザーがフォームを送信しないことを選択した場合でも、Meta(以前のFacebook)とTikTokがWebフォームから暗号化された個人データを収集することも発見しました。
私たちはさらに効果的に追跡されます
Radboud大学のデジタルセキュリティグループの教授兼研究者であり、研究の共同リーダーであるGüneşAkarは、次のように強調しました。
フォームに>>送信<<ボタンがある場合は、フォームが何かを実行することを期待するのが妥当です。クリックするとデータを送信します。これらの結果には非常に驚きました。あなたがそれを送る前にあなたの電子メールを集める数百のウェブサイトを見つけることができると私たちは思ったが、これは間違いなく私たちの期待を超えていた。
彼はまた、ユーザーのプライバシーリスクは、Webサイト、セッション、モバイルデバイス、およびデスクトップ全体でさらに効果的に追跡されることであると述べました。
電子メールアドレスは、グローバルで一意であり、永続的であるため、非常に便利な追跡IDです。Cookieを削除するため、これをクリアすることはできません。これは非常に強力な識別子です。
研究者たちは、8月に開催されるUsenixセキュリティ会議で調査結果を発表する予定です。
研究の結果についてどう思いますか?コメントで教えてください。
出典:wired.com、home.esat.kuleuven.be/~asenol/leaky-forms/
コメントを残す