Web Tracker surpris en train d’intercepter des formulaires en ligne avant même que l’utilisateur n’ait cliqué sur Soumettre

Une nouvelle étude publiée par des universitaires de la KU Leuven, de l’Université Radboud et de l’Université de Lausanne a révélé que les adresses e-mail des utilisateurs sont exfiltrées dans les domaines de suivi, de marketing et d’analyse avant l’envoi des informations et sans approbation préalable.

Apprentissage impliqué a exploré 2,8 millions de pages des 100 meilleurs sites Web et a constaté que 1 844 sites Web permettaient aux trackers de capturer les adresses e-mail avant la soumission du formulaire dans l’Union européenne, un nombre qui passe à 2 950 lorsque le même ensemble de sites Web est visité depuis les États-Unis.

« Les e-mails (ou leurs hachages) ont été envoyés à 174 domaines différents (eTLD+1) dans le crawl américain et 157 domaines différents dans le crawl européen », les chercheurs mentionné. De plus, 52 sites Web ont décidé de collecter les mots de passe de la même manière, un problème qui a depuis été résolu à la suite d’une divulgation responsable.

Cybersécurité

LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak et Oracle représentaient certains des principaux domaines de suivi tiers auxquels des adresses e-mail étaient envoyées, tandis que Yandex, Mixpanel et LogRocket étaient en tête de liste. la catégorie de récupération du mot de passe.

« Certains tiers envoient des adresses e-mail caractère par caractère, au fur et à mesure que les utilisateurs tapent leurs adresses », ont déclaré les chercheurs. « Ce comportement semble être causé par un script de session de relecture qui collecte les interactions de l’utilisateur avec la page, y compris les frappes au clavier et les mouvements de la souris. »

Les adresses e-mail offrent de nombreux avantages. Non seulement il est unique, permettant à des tiers de suivre les utilisateurs sur tous les appareils, mais il peut également être utilisé pour faire correspondre leur activité en ligne et hors ligne, par exemple, dans un scénario où ils effectuent un achat en magasin qui les oblige à partager leur adresse e-mail ou inscrivez-vous pour une carte de fidélité.

L’idée derrière la récupération des adresses e-mail saisies dans les formulaires en ligne, même dans les cas où les utilisateurs ne soumettent aucun formulaire, a également été motivée par les efforts continus des fournisseurs de navigateurs pour interrompre la prise en charge des cookies tiers, obligeant les spécialistes du marketing à rechercher d’autres identifiants statiques pour piste.utilisateur.

Ces préoccupations ne sont pas les premières à se poser. En juin 2017, Gizmodo a découvert qu’un tiers nommé NaviStone recueillait des informations personnelles à partir de formulaires de calcul d’hypothèque avant de les soumettre, et très peu de sites Web divulguaient explicitement cette pratique dans leurs politiques de confidentialité.

Cybersécurité

Cinq ans plus tard, peu de choses ont changé, selon les chercheurs, les sites Web liés à la mode/beauté, aux achats en ligne, aux actualités générales, aux logiciels/matériels et aux entreprises émergeant comme les principales catégories avec le plus « formulaire de fuite. »

« Malgré le remplissage des champs d’e-mail sur des centaines de sites Web classés comme pornographiques, nous n’avons pas eu une seule fuite d’e-mail », montrent les résultats, notant comment cela correspond à leçon précédente qui a montré que les sites Web pour adultes ont relativement peu de trackers tiers par rapport aux sites grand public de popularité comparable.

De plus, une telle pratique peut violer au moins trois des Règlements Généraux sur la Protection des Données (RGPD) dans l’UE, qui vont à l’encontre des principes de transparence, de limitation des objectifs et de consentement de l’utilisateur.

Ces dernières années, les fabricants de navigateurs, à l’exception de Google Chrome, ont introduit de nouveaux mécanismes pour limiter les cookies intersites, mais Apple Safari et Mozilla Firefox se sont avérés ne rien faire pour protéger les scripts qui exportent les adresses e-mail à des fins de suivi.

L’une des contre-mesures contre cette méthode de suivi consiste à installer une extension de navigateur telle que uBlock Origin ou à passer à un navigateur doté d’une fonctionnalité intégrée de blocage des publicités, quel que soit le type d’appareil.

« Les utilisateurs doivent supposer que les informations personnelles qu’ils saisissent dans les formulaires Web peuvent être collectées par des trackers, même si le formulaire n’est jamais soumis », ont conclu les chercheurs, appelant à une enquête plus approfondie de la part des fournisseurs de navigateurs, des développeurs d’outils de confidentialité et des agences de protection des données.

Roul Dennel

"Écrivain extrême. Passionné d'Internet. Passionné de télévision indépendant. Fan de nourriture diabolique. Introverti. Penseur hardcore. Future idole des adolescents. Expert en bacon."

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.