Irgendjemand schaut immer zu
Die Forscher analysierten die 100.000 beliebtesten Websites und betrachteten verschiedene Szenarien – zum Beispiel verglichen sie das Verhalten von Websites, die von Nutzern während ihres Aufenthalts in der EU und in den USA besucht wurden.
Sie fanden heraus, dass 1.844 Portale E-Mail-Adressen sammelten, bevor Formulare von EU-Nutzern eingereicht und genehmigt wurden. Für die Vereinigten Staaten waren es 2950. Viele von ihnen enthalten Berichten zufolge Marketing- und Analysesoftware von Drittanbietern, die diese Informationen automatisch sammelt.
Interessanterweise fanden die Forscher auch heraus, dass Passwörter für 52 Websites versehentlich von externen Session-Replay-Skripten erfasst wurden. Die Gruppe veröffentlichte ihre Ergebnisse auf diesen Websites und alle 52 Fälle wurden Berichten zufolge gelöst.
Die Studie zeigt, dass Websites auf unterschiedliche Weise Daten sammeln. Einige von ihnen zeichneten Tastenanschläge auf, während andere vollständige Berichte aus einem Feld holten, während Benutzer auf das nächste klickten.
Asuman Senol, Datenschutz- und Identitätsforscher an der KU Leuven und einer der Co-Autoren der Studie, kommentierte:
Wenn Sie auf das nächste Feld klicken, sammeln sie in einigen Fällen die vorherigen, genauso wie Sie auf das Passwortfeld klicken und eine E-Mail sammeln, oder Sie klicken einfach irgendwo hin und sie sammeln sofort alle Informationen. Wir haben nicht erwartet, Tausende von Websites zu finden; und in den USA sind die Zahlen sehr hoch, was interessant ist.
Während der Untersuchung fanden die Forscher auch heraus, dass Meta (ehemals Facebook) und TikTok verschlüsselte personenbezogene Daten aus Webformularen sammeln, selbst wenn der Benutzer sich entscheidet, das Formular nicht abzusenden.
Wir werden noch effektiver verfolgt
Wie Güneş Akar, Professor und Forscher an der Digital Security Group an der Radboud University und Co-Forschungsleiter, betonte:
Wenn Ihr Formular über eine Schaltfläche >> Senden << verfügt, ist es vernünftig, davon auszugehen, dass es etwas tut – Ihre Daten senden, wenn darauf geklickt wird. Wir waren sehr überrascht von diesen Ergebnissen. Wir dachten, wir könnten mehrere hundert Websites finden, die Ihre E-Mails sammeln, bevor Sie sie senden, aber das hat unsere Erwartungen definitiv übertroffen.
Er erklärte auch, dass das Datenschutzrisiko für Benutzer darin besteht, dass sie noch effektiver über Websites, Sitzungen, mobile Geräte und Desktops hinweg verfolgt werden.
Eine E-Mail-Adresse ist eine so nützliche Tracking-ID, weil sie global, eindeutig und dauerhaft ist. Dies kann nicht gelöscht werden, wenn Sie Ihre Cookies löschen. Dies ist ein sehr mächtiger Identifikator.
Die Forscher planen, ihre Ergebnisse auf der Usenix-Sicherheitskonferenz im August vorzustellen.
Was halten Sie von den Ergebnissen der Studie? Lass es mich in den Kommentaren wissen.
Quelle: wired.com, home.esat.kuleuven.be/~asenol/leaky-forms/
Schreibe einen Kommentar