圖片來源: 

Michael Dolejš on unsplash

一群來自荷蘭Radboud大學、瑞士洛桑大學與比利時魯汶大學的研究人員,在本周公布了一份研究報告,指出有些網站在使用者輸入表單但並未提交之前,追蹤器就得以取得相關內容,諸如電子郵件帳號與密碼。

此一研究報告名為《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》,研究人員針對全球前10萬個網站展開調查,從歐盟及美國執行爬蟲程式,透過桌面與行動瀏覽器,並使用3種不同的Cookie同意設定來調查使用者同意與否,總計爬梳了全球前10萬個網站的280萬個網頁。

相關的爬蟲程式能夠偵測網頁上的電子郵件欄位,還能填入電子郵件與密碼,同時攔截存取這些欄位的腳本程式。

調查顯示,從歐盟執行的爬蟲程式發現有1,844個網站在使用者填入表單,但尚未提交之前,就讓追蹤器蒐集使用者所填入的電子郵件,自美國執行的爬蟲程式則發現了2,950個網站擁有同樣的行為,當中有60%的網站是一樣的。

此外,研究人員還發現有41個追蹤器的網域是未知的。

除了電子郵件之外,還有52個網站意外地讓行為重播供應商(Session Replay Provider)蒐集了使用者所填入的密碼。

上述的電子郵件或密碼的蒐集行為,都是在使用者填入資料,但尚未提交之前就發生的。

值得注意的是,不管是自歐洲或美國造訪,在使用者尚未提交電子郵件就外洩的前十大網站中,有不少為新聞網站,包括USA Today、英國的Independent、News Week、Business Insider、Time、Fox News與The Verge等,不過它們都已在接到通知後,於今年2月修補了此一臭蟲。

而蒐集這些網站未提交表單的第三方追蹤器則來自於不少知名業者,包括Adobe、Oracle、Salesforce、Meta與TikTok等。

當中比較特別的是Meta與TikTok,因為它們的追蹤器都具備自動進階比對(Automatic Advanced Matching)功能,可自動自網路上的表單中蒐集雜湊的使用者標識符,以用來遞送目標式廣告,而且它們並無法辨識「提交」鍵,而是在使用者執行任何點擊時,也許是其它按鍵或連結,就會自動蒐集使用者已輸入的雜湊個人資訊。

在發現此事之後,研究人員再針對這10萬個網站執行了額外的爬蟲程式,以檢查哪些外洩是因為無關的按鍵而造成,結果分別有8,438個(美國)及7,379個(歐盟)網站會將使用者資料傳送給Meta,也分別有154個(美國)及147個(歐盟)網站會將使用者資料傳送給TikTok。

至於外洩密碼的52個網站中,最知名的莫過於俄羅斯最大搜尋引擎Yandex,研究人員相信這類的蒐集行為都是意外,而且已通知相關業者。


熱門新聞

Advertisement