Webtrackers betrapt op het onderscheppen van online formulieren nog voordat gebruikers op Verzenden hebben gedrukt

Intercepting Online Forms Nachrichten

Een nieuw onderzoek gepubliceerd door academici van de KU Leuven, de Radboud Universiteit en de Universiteit van Lausanne heeft onthuld dat de e-mailadressen van gebruikers worden geëxfiltreerd naar tracking-, marketing- en analysedomeinen voordat deze worden ingediend en zonder voorafgaande toestemming.

De studie betrokken het crawlen van 2,8 miljoen pagina’s van de top 100 websites, en ontdekte dat maar liefst 1.844 websites trackers toestonden om e-mailadressen vast te leggen voordat formulieren werden ingediend in de Europese Unie, een aantal dat steeg tot 2.950 toen dezelfde set websites werd bezocht vanuit de VS

„E-mails (of hun hashes) werden verzonden naar 174 verschillende domeinen (eTLD+1) in de VS-crawl, en 157 verschillende domeinen in de EU-crawl, „de onderzoekers zei. Bovendien werd vastgesteld dat 52 websites op dezelfde manier wachtwoorden verzamelen, een probleem dat sindsdien is aangepakt na verantwoorde openbaarmaking.

LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak en Oracle waren goed voor enkele van de toptrackerdomeinen van derden waarnaar e-mailadressen zijn verzonden, terwijl Yandex, Mixpanel en LogRocket de lijst in de categorie wachtwoordgrijpen.

„Bepaalde derde partijen sturen e-mailadressen teken voor teken, terwijl de gebruiker hun adres intypt“, aldus de onderzoekers. „Dit gedrag lijkt te wijten te zijn aan scripts voor het opnieuw afspelen van sessies die de interacties van gebruikers met de pagina verzamelen, inclusief toetsaanslagen en muisbewegingen.“

mode/beauty, online winkelen en algemeen nieuws komen naar voren als de topcategorieën ->

mode/beauty, online winkelen, algemeen nieuws, software/hardware en bedrijven komen naar voren als de topcategorieën

E-mailadressen bieden een aantal voordelen. Ze zijn niet alleen uniek, omdat ze derden in staat stellen gebruikers op verschillende apparaten te volgen, ze kunnen ook worden gebruikt om hun online en offline activiteiten op elkaar af te stemmen, bijvoorbeeld in scenario’s waarin ze een aankoop in de winkel doen waarbij ze hun e-mailadres of aanmelden voor een klantenkaart.

Het idee achter het verzamelen van e-mailadressen die zijn ingevoerd in online formulieren, zelfs in gevallen waarin de gebruikers geen formulier indienen, is ook aangewakkerd door voortdurende pogingen van browserleveranciers om de ondersteuning voor cookies van derden te laten vallen, waardoor marketeers gedwongen werden op zoek te gaan naar alternatieve statische identifiers gebruikers te volgen.

Het is niet de eerste keer dat een dergelijke bezorgdheid wordt geuit. In juni 2017 ontdekte Gizmodo dat een derde partij genaamd NaviStone persoonlijke informatie verzamelde van hypotheekcalculatorformulieren voordat ze werden ingediend, en er waren maar heel weinig websites die deze praktijk expliciet in hun privacybeleid vermelden.

Vijf jaar later is er niet veel veranderd, aldus de onderzoekers, met websites die verband houden met mode/beauty, online winkelen en algemeen nieuws als de topcategorieën met de meeste „lekkende formulieren.“

„Ondanks het invullen van e-mailvelden op honderden websites die zijn gecategoriseerd als pornografie, hebben we geen enkel e-maillek“, blijkt uit de bevindingen, waarbij wordt opgemerkt hoe het aansluit bij eerdere studies die hebben aangetoond dat websites voor volwassenen relatief minder trackers van derden hebben in vergelijking met algemene sites met vergelijkbare populariteit.

Bovendien kan een dergelijke praktijk in strijd zijn met ten minste drie verschillende Algemene Verordening Gegevensbescherming (AVG) vereisten in de EU, in strijd met de beginselen van transparantie, doelbinding en toestemming van de gebruiker.

In de afgelopen jaren hebben browsermakers, met de opmerkelijke uitzondering van Google Chrome, nieuwe mechanismen geïntroduceerd om cross-site cookies te beperken, maar zowel Apple Safari als Mozilla Firefox bleken niets te beschermen tegen scripts die e-mailadressen exporteren voor trackingdoeleinden.

Een tegenmaatregel tegen deze trackingmethode is het installeren van browserextensies zoals uBlock Origin of het overschakelen naar browsers met ingebouwde functionaliteit voor het blokkeren van advertenties, ongeacht het type apparaat dat wordt gebruikt.

„Gebruikers moeten ervan uitgaan dat de persoonlijke informatie die ze invoeren in webformulieren kan worden verzameld door trackers, zelfs als het formulier nooit wordt ingediend“, concludeerden de onderzoekers, en riepen op tot verder onderzoek door browserleveranciers, ontwikkelaars van privacytools en gegevensbeschermingsinstanties.

David
Rate author
Hackarizona