信息化觀察網(wǎng)

本文來(lái)自極客網(wǎng)，作者/舒云。

當(dāng)你輸入信息訂閱新聞服務(wù)、預(yù)訂酒店或在線結(jié)賬時(shí)，你可能會(huì)理所當(dāng)然地認(rèn)為，如果您輸入了3次錯(cuò)誤的電子郵件地址，或者改變主意關(guān)掉頁(yè)面退出輸入，這無(wú)關(guān)緊要？在你點(diǎn)擊提交按鈕之前，實(shí)際上什么都不會(huì)發(fā)生，對(duì)吧？

好吧，答案也許不是。一份最新研究顯示，情況并非總是如此：當(dāng)你將數(shù)據(jù)輸入數(shù)字表格時(shí)，一大批數(shù)量驚人的網(wǎng)站正在收集您的部分或全部數(shù)據(jù)，哪怕它們不是正確的數(shù)據(jù)。

來(lái)自KU Leuven,Radboud University和University of Lausanne的研究人員抓取并分析了世界排名考前的10萬(wàn)個(gè)網(wǎng)站，研究了用戶在歐盟訪問(wèn)網(wǎng)站和在美國(guó)訪問(wèn)網(wǎng)站的情形。他們發(fā)現(xiàn)，其中1844個(gè)網(wǎng)站在未經(jīng)他們同意的情況下收集了歐盟用戶的電子郵件地址，2950個(gè)網(wǎng)站以某種形式記錄了美國(guó)用戶的電子郵件。許多網(wǎng)站似乎并不成心要進(jìn)行數(shù)據(jù)收集，但它們包含導(dǎo)致該行為的第三方營(yíng)銷(xiāo)和分析服務(wù)，這些營(yíng)銷(xiāo)公司靠收集分析用戶行為為生。

“如果表單上有一個(gè)提交按鈕，那么合理的期望是它會(huì)做一些事情——當(dāng)你點(diǎn)擊它時(shí)它會(huì)提交你的數(shù)據(jù)，”參與研究的拉德布德大學(xué)數(shù)字安全小組的教授和研究員Güne Acar說(shuō)，“但事實(shí)讓我們感到非常驚訝。我們?cè)菊J(rèn)為也許只有幾百個(gè)少量的網(wǎng)站會(huì)非法收集我們的電子郵件信息，但結(jié)果遠(yuǎn)遠(yuǎn)超出了我們的預(yù)期。”

據(jù)悉，研究人員將在8月的Usenix安全會(huì)議上展示這些發(fā)現(xiàn)，并表示是受到媒體報(bào)道的啟發(fā)，才展開(kāi)了他們所謂的“泄露表格”調(diào)查，尤其是來(lái)自Gizmodo的關(guān)于第三方不管用戶提交與否都收集表格數(shù)據(jù)的行為。

他們指出，從本質(zhì)上講，這種行為類(lèi)似于所謂的鍵盤(pán)記錄器，它們通常是一種惡意程序，會(huì)記錄目標(biāo)輸入的所有類(lèi)型的內(nèi)容。但是在主流的前1000名網(wǎng)站上，用戶可能不會(huì)期望他們的信息會(huì)被鍵盤(pán)記錄。在實(shí)踐中，研究人員看到了這種行為的一些變化：一些網(wǎng)站會(huì)在用戶每敲擊一次鍵盤(pán)就記錄一次，許多網(wǎng)站會(huì)在用戶單擊下一個(gè)字段/頁(yè)面時(shí)記錄完整的輸入內(nèi)容。

“在某些情況下，當(dāng)您單擊下一個(gè)字段時(shí)，他們會(huì)收集前一個(gè)字段，就像您單擊密碼字段并收集電子郵件一樣，或者您只需單擊任意位置，他們就會(huì)立即收集所有信息，”來(lái)自KU Leuven的研究者之一、隱私專(zhuān)家Asuman Senol說(shuō)，“我們沒(méi)想到會(huì)找到數(shù)千個(gè)網(wǎng)站存在這樣的行為；而在美國(guó)，這個(gè)數(shù)字非常高，這很有趣。”

他表示，由于歐盟的通用數(shù)據(jù)保護(hù)條例，地區(qū)差異可能使公司對(duì)用戶跟蹤更加謹(jǐn)慎，甚至可能與較少的第三方整合有關(guān)。但他們強(qiáng)調(diào)這只是一種可能性，該研究并未檢查對(duì)這種差異性的解釋。

通過(guò)大量努力通知以這種方式收集數(shù)據(jù)的網(wǎng)站和第三方，研究人員發(fā)現(xiàn)，對(duì)某些意外數(shù)據(jù)收集的一種解釋可能與將“提交”操作與某些網(wǎng)絡(luò)上的其他用戶操作區(qū)分開(kāi)來(lái)的挑戰(zhàn)有關(guān)聯(lián)，但研究人員強(qiáng)調(diào)，從隱私的角度來(lái)看，這并不是一個(gè)充分的理由。

自完成論文以來(lái)，該小組還發(fā)現(xiàn)了Meta Pixel和TikTok Pixel隱形營(yíng)銷(xiāo)跟蹤器，這些服務(wù)嵌入在他們的網(wǎng)站上，以跟蹤網(wǎng)絡(luò)上的用戶并向他們展示廣告。兩者都在它們的文檔中聲稱(chēng)，客戶可以打開(kāi)“自動(dòng)高級(jí)匹配”，這將在用戶提交表單時(shí)觸發(fā)數(shù)據(jù)收集。然而，在實(shí)踐中，研究人員發(fā)現(xiàn)這些跟蹤插件在提交之前就抓取了散列的電子郵件地址，即一種用于跨平臺(tái)識(shí)別網(wǎng)絡(luò)用戶電子郵件地址的模糊版本。

對(duì)于美國(guó)用戶而言，可能有8438個(gè)網(wǎng)站通過(guò)Meta Pixel向Facebook母公司Meta泄露數(shù)據(jù)，而歐盟用戶可能會(huì)受影響的網(wǎng)站有7379個(gè)。對(duì)于TikTok Pixel，該組織為美國(guó)用戶找到了154個(gè)受影響站點(diǎn)，為歐盟用戶找到了147個(gè)受影響站點(diǎn)。

據(jù)悉，研究人員于3月25日向Meta提交了一份報(bào)錯(cuò)報(bào)告，該公司迅速指派一名工程師處理此案，但此后該小組沒(méi)有收到任何更新。研究人員于4月21日通知了TikTok——他們最近發(fā)現(xiàn)了TikTok的更多行為——但尚未收到回復(fù)。Meta和TikTok沒(méi)有立即回復(fù)媒體就調(diào)查結(jié)果發(fā)表評(píng)論的請(qǐng)求。

“用戶的隱私風(fēng)險(xiǎn)在于他們將被更有效地跟蹤；他們可以跨不同的網(wǎng)站、跨不同的會(huì)話、跨移動(dòng)設(shè)備和桌面進(jìn)行跟蹤，”Acar說(shuō)，“電子郵件地址是一個(gè)非常有用的跟蹤標(biāo)識(shí)符，因?yàn)樗侨蛐缘?、唯一的、不變的。您無(wú)法像清除cookie一樣清除它。這是一個(gè)非常強(qiáng)大的標(biāo)識(shí)符。”

Acar還指出，隨著科技公司希望逐步淘汰基于cookie的跟蹤以解決隱私問(wèn)題，營(yíng)銷(xiāo)人員和其他分析師將越來(lái)越依賴(lài)靜態(tài)ID，如電話號(hào)碼和電子郵件地址等。

由于調(diào)查結(jié)果表明在提交表單之前刪除表單中的數(shù)據(jù)可能不足以保護(hù)自己免受所有收集，因此研究人員創(chuàng)建了一個(gè)名為L(zhǎng)eakInspector的Firefox擴(kuò)展應(yīng)用來(lái)檢測(cè)流氓表單收集情況。他們表示希望他們的發(fā)現(xiàn)能夠提高大家對(duì)這個(gè)問(wèn)題的認(rèn)識(shí)——不僅是普通網(wǎng)絡(luò)用戶，而且是網(wǎng)站開(kāi)發(fā)人員和管理員。后者可以主動(dòng)檢查他們的系統(tǒng)或他們使用的任何第三方應(yīng)用是否正在無(wú)需用戶同意從表單中收集數(shù)據(jù)。