细思极恐,第三方跟踪器正在获取你的数据,如何防范?
当下,许多网站都存在一些Web表单,比如登录、注册、评论等操作需要表单。我们都知道,我们在冲浪时在网站上键入的数据会被第三方跟踪器收集。但是,你知道吗?第三方跟踪器甚至可在提交表单之前就获取你的数据。
来自 KU Leuven、Radboud 大学和洛桑大学的一个研究小组分析了第三方跟踪器在全球排名前 10 万的网站上收集的数据。结果已发表在研究论文 Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission 中。
用户泄露的数据包括用户的Email、姓名、用户名、输入表单的其他信息,甚至密码!
收集嚣张程度与位置有关
数据收集因用户所在位置而异。研究人员通过在欧盟和美国的位置进行测试来评估用户位置的影响。
结果表明,位于美国的电子邮件泄露数量比欧盟多 60%。当位置为欧盟时访问一组 10 万个网站时,电子邮件在 1844 个站点上被泄露,当位置为美国访问同一组站点时,电子邮件在 2950 个站点上被泄露。
位于欧盟访问时会泄露电子邮件的大部分网站(94.4%)在从美国访问时也获取了用户的电子邮件。
在这两种情况下,使用移动网络浏览器时的泄漏都略低。位置为欧盟并使用移动浏览器时访问时,1745 个站点泄露了电子邮件地址,位置为美国则2744 个站点泄露了电子邮件地址。
电子邮件泄露的情况,移动端和桌面端访问网站大量重叠但不完全重叠。
对这种差异的合理解释是,对移动端访问进行调查和桌面端并非同时进行,而是有一个月的时间差。所以发现一些跟踪器仅在移动端或桌面端站点上处于活跃状态。
研究人员认为,更严格的隐私欧洲隐私法在其中发挥了作用。GDPR(通用数据保护条例)适用于网站和服务收集个人数据的情况。处理个人数据的组织有责任遵守 GDPR。
研究人员认为,第三方的电子邮件泄露“可能违反至少三项 GDPR 要求”。
首先,如果这种泄露是秘密进行的,就违反了透明原则。
其次,如果将这种渗漏用于行为广告、营销和在线跟踪等目的,也违反了目的限制原则。
第三,如果电子邮件泄露用于行为广告或在线跟踪,GDPR 通常要求需要网站访问者事先同意。
如何防止追踪器泄露表单数据?
第三方脚本收集了用户在网站上输入的数据,甚至在提交表单之前收集Web 浏览器也不会向用户说明。虽然除了谷歌 Chrome 之外,大多数浏览器都包含反跟踪功能,但它们似乎不适合保护用户数据免受这种形式的跟踪。
研究人员使用 Firefox 和 Safari 进行了一项小型测试,希望使用反跟踪功能阻止了样本网站上的数据泄露。两种浏览器都未能在测试中保护用户数据。
具有内置广告拦截功能的浏览器(例如 Brave 或 Vivaldi)以及广告拦截扩展程序(例如 uBlock Origin)可以较好地防止数据泄露。移动设备上的用户可以使用默认支持扩展或包含广告拦截功能的浏览器。
研究人员开发了浏览器扩展 LeakInspector。LeakInspector 旨在通知用户出现的嗅探攻击并阻止包含个人信息的请求,保护用户数据。
该扩展的源代码可在 GitHub 上找到。开发人员无法将扩展提交到 Chrome 网上应用商店,因为它需要访问仅在 Manifest 2 中可用的功能。Google 仅在其 Chrome 网上应用商店中接受 Manifest 3 扩展。Firefox 扩展程序马上在 Firefox 的 Mozilla 附加组件商店中发布。
原文:Trackers may collect data that you type even before hitting submit - gHacks Tech News https://www.ghacks.net/2022/05/17/trackers-may-collect-data-that-you-type-even-before-hitting-submit/
关于作者MARTIN BRINKMANN:
Martin Brinkmann is a journalist from Germany who founded Ghacks Technology News Back in 2005. He is passionate about all things tech and knows the Internet and computers like the back of his hand.