Μερικοί από τους 100.000 κορυφαίους ιστοτόπους συλλέγουν όλα όσα πληκτρολογείτε, προτού πατήσετε Υποβολή

Όταν εγγράφεστε για ένα ενημερωτικό δελτίο, κάνετε κράτηση ξενοδοχείου ή κάνετε κράτηση στο διαδίκτυο, πιθανότατα θεωρείτε δεδομένο ότι αν πληκτρολογήσετε λάθος τη διεύθυνση email σας τρεις φορές ή αλλάξετε γνώμη και φύγετε από τη σελίδα, δεν έχει σημασία. Στην πραγματικότητα τίποτα δεν συμβαίνει μέχρι να πατήσετε το κουμπί Υποβολή, σωστά; Τελικά μπορεί και όχι. Όπως συμβαίνει με τόσες πολλές υποθέσεις για τον Ιστό, αυτό δεν συμβαίνει πάντα, σύμφωνα με νέα έρευνα: Ένας εκπληκτικός αριθμός ιστότοπων συλλέγει μερικά ή όλα τα δεδομένα σας καθώς τα πληκτρολογείτε.

Ερευνητές από το KU Leuven, το Πανεπιστήμιο Radboud και το Πανεπιστήμιο της Λωζάνης ανίχνευσαν και ανέλυσαν τους 100.000 κορυφαίους ιστότοπους, εξετάζοντας σενάρια στα οποία ένας χρήστης επισκέπτεται έναν ιστότοπο ενώ βρίσκεται στην Ευρωπαϊκή Ένωση και επισκέπτεται έναν ιστότοπο από τις Ηνωμένες Πολιτείες. Διαπίστωσαν ότι 1.844 ιστότοποι συγκέντρωσαν τη διεύθυνση ηλεκτρονικού ταχυδρομείου ενός χρήστη της ΕΕ χωρίς τη συγκατάθεσή τους και ένας εντυπωσιακός αριθμός 2.950 δικτυακών τόπων κατέγραψαν με κάποια μορφή το email ενός χρήστη των ΗΠΑ. Πολλοί από τους ιστότοπους φαίνεται ότι δεν σκοπεύουν να πραγματοποιήσουν την καταγραφή δεδομένων, αλλά ενσωματώνουν υπηρεσίες μάρκετινγκ και ανάλυσης τρίτων που προκαλούν αυτή τη συμπεριφορά.

Μετά από ανίχνευση ιστότοπων για διαρροές κωδικών πρόσβασης τον Μάιο του 2021, οι ερευνητές βρήκαν επίσης 52 ιστότοπους στους οποίους τρίτα μέρη, συμπεριλαμβανομένου του ρωσικού τεχνολογικού γίγαντα Yandex, συνέλεγαν τυχαία δεδομένα κωδικών πρόσβασης πριν από την υποβολή. Η ομάδα αποκάλυψε τα ευρήματά της σε αυτούς τους δικτυακούς τόπους, και έκτοτε έχουν επιλυθεί και οι 52  αυτές περιπτώσεις.

«Εάν υπάρχει ένα κουμπί Υποβολή σε μια φόρμα, η εύλογη προσδοκία είναι ότι θα κάνει κάτι—ότι θα υποβάλει τα δεδομένα σας όταν κάνετε κλικ σε αυτήν», λέει ο Güneş Acar, καθηγητής και ερευνητής στην ομάδα ψηφιακής ασφάλειας του Πανεπιστημίου Radboud και ένας από τους ερευνητές. «Ήμασταν εξαιρετικά έκπληκτοι από αυτά τα αποτελέσματα. Σκεφτήκαμε ότι ίσως θα βρίσκαμε μερικές εκατοντάδες ιστοσελίδες όπου συλλέγεται το email σας προτού υποβάλετε, αλλά αυτό ξεπέρασε κατά πολύ τις προσδοκίες μας.”

Οι ερευνητές, που θα παρουσιάσουν τα ευρήματά τους στο συνέδριο ασφαλείας του Usenix τον Αύγουστο, λένε ότι εμπνεύστηκαν να διερευνήσουν αυτό που αποκαλούν «διαρροές φορμών» από αναφορές μέσων ενημέρωσης, ιδιαίτερα από το Gizmodo, σχετικά με τρίτα μέρη που συλλέγουν δεδομένα από φόρμες, ανεξάρτητα από την κατάσταση υποβολής. Επισημαίνουν ότι, στον πυρήνα της, η συμπεριφορά είναι παρόμοια με τα λεγόμενα keylogger, τα οποία είναι συνήθως κακόβουλα προγράμματα που καταγράφουν οτιδήποτε πληκτρολογεί ένας χρήστης-στόχος. Αλλά σε έναν κεντρικό ιστότοπο των 1.000 κορυφαίων, οι χρήστες πιθανότατα δεν θα περιμένουν να καταγράφονται οι πληροφορίες τους. Και στην πράξη, οι ερευνητές είδαν μερικές παραλλαγές της συμπεριφοράς. Ορισμένοι ιστότοποι καταγράφουν δεδομένα πληκτρολόγησης, αλλά πολλοί πήραν τα πλήρη δεδομένα από ένα πεδίο όταν οι χρήστες έκαναν κλικ στο επόμενο.