سایت‌های معروف حتی مطالب تایپ‌نشده کاربران را هم می‌بینند

جمعه ۶ خرداد ۱۴۰۱ - ۱۳:۳۰
مطالعه 5 دقیقه
شمار مبهوت‌کننده‌ای از سایت‌های کوچک و بزرگ دنیا با اتکا به ابزارهای نرم‌افزاری خاص خودشان می‌توانند داده‌های کاربران را حتی پیش از ارسال ببینند و ثبت کنند.
تبلیغات

بیش از ۱۰۰ هزار وب‌سایت پرطرفدار درعمل از کی‌لاگرها استفاده می‌کنند. کی‌لاگر درواقع به برنامه‌هایی اطلاق می‌شود که به‌صورت مخفیانه می‌توانند تمام چیزهایی را که کاربران با کیبورد خود تایپ می‌کنند، به‌تعبیری به‌ دام انداخته و درصورت نیاز آن‌ها را ذخیره کنند.

وقتی که مشغول ثبت‌نام اشتراک یک خبرنامه یا رزرو آنلاین هتل هستید یا زمانی‌که فقط می‌خواهید در اینترنت گشت‌وگذار کنید ممکن است ایمیل خود را چندبار اشتباه تایپ کنید یا این‌که ممکن است نظر خود را عوض کرده و از صفحه‌ی یک‌ وب‌سایت خارج شوید. در این مواقع شاید با خود فکر کنید تا زمانی‌که دکمه ارسال را فشار نداده‌اید اطلاعات شما بارگذاری نشده و درواقع هیچ اتفاقی نیفتاده است، این‌طور نیست؟ اما باید گفت همانند بسیاری دیگر از تصورات ما از دنیای اینترنت، این تصور نیز در اغلب مواقع نادرست است. طبق یک مطالعه‌ی جدید، تعداد تکان‌دهنده‌ای از وب‌سایت‌ها می‌توانند تمام یا بخشی از داده‌ها را هم‌زمان با تایپ‌شدن آن‌ها توسط کاربر جمع‌آوری کرده و تبدیل به فرم‌های دیجیتالی کنند.

محققان سه دانشگاه لون، رادبود و لوزان در یک مطالعه‌ی مشترک به بررسی رفتار صدهزار وب‌سایت از میان پرطرفدارترین وب‌سایت‌ها پرداختند. در این تحقیق کاربرانی از اتحادیه‌ی اروپا و ایالات‌متحده در وب‌سایت‌های مورد مطالعه ثبت‌نام کرده و از سرویس‌های آن‌ها استفاده کردند. محققان دریافتند که ۱۸۴۴ وب‌سایت، آدرس ایمیل کاربران اروپایی را بدون کسب رضایت او جمع‌آوری می‌کنند، در حالی‌که ۲۹۵۰ وب‌سایت نیز آدرس ایمیل کاربران ایالات‌متحده را به شکل‌های مختلف ذخیره می‌کنند. بسیاری از این ‌وب‌سایت‌ها در ظاهر قصد جمع‌آوری داده‌های کاربران را ندارند اما از سرویس‌های بازاریابی و تحلیلی میزبانی می‌کنند که باعث بروز چنین رفتاری از سوی آن‌ها می‌شود.

در ماه مه ۲۰۲۱ محققان با هدف کشف نشت‌ داده‌های حساسی مانند رمزهای عبور شروع به تحقیق و تفحص از وب‌سایت‌ها کردند. محققان دریافتند که در ۵۲ وب‌سایت، سرویس‌های ثالث متعلق به شرکت‌های مختلف از جمله غول فناوری روسی به‌نام یاندکس به‌صورت اتفاقی داده‌های حاوی رمزهای عبور را حتی پیش از ارسال آن‌ها توسط کاربران جمع‌آوری می‌کنند. البته گفتنی است بعد از این‌که محققان یافته‌های خود را با این‌ وب‌سایت‌ها درمیان گذاشتند، تمام ۵۲ وب‌سایت این مشکل را حل کردند.

گونش آکار، پروفسور و محقق دانشگاه رادبود در هلند و عضو گروه امنیت دیجیتال این دانشگاه و یکی از رهبران این تحقیق می‌گوید:

نتایج تحقیق، ما را به‌شدت شگفت‌زده کرد. فکر می‌کردیم که شاید چندصد وب‌سایت وجود داشته باشند که آدرس ایمیل را پیش از ارسال آن‌ها توسط کاربر جمع‌آوری کنند، اما تعداد این و‌ب‌سایت‌ها از انتظارات ما بسیار فراتر رفت.

آکار و همکاران او قرار است در ماه آگوست (تابستان سال جاری) یافته‌های مطالعه‌ی خود را در کنفرنس امنیتی یوسنیکس ارائه کنند. محققان می‌گویند گزارش‌هایی که در مورد فرم‌های نشتی توسط رسانه‌های مختلف به‌خصوص وب‌سایت گیزمودو منتشر شد الهام‌بخش آن‌ها برای شروع تحقیق از این وب‌سایت‌ها و نقش سرویس‌های ثالث در جمع‌آوری داده‌های ارسال‌نشده بوده است. درواقع محققان معتقدند که این رفتار برخی وب‌سایت‌ها دراصل شبیه چیزی است که به آن کی‌لاگر می‌گویند. کی‌لاگرها به‌طور کلی برنامه‌های مخربی هستند که تمام اطلاعات تایپ‌شده توسط کاربران هدف را جمع‌آوری می‌کنند. اما شاید کاربران انتظار نداشته باشند که داده‌های آن‌ها در معتبرترین و محبوب‌ترین وب‌سایت‌های اینترنت توسط کی‌لاگرها جمع‌آوری شود. محققان می‌گویند درعمل رفتار وب سایت‌های جالب و مختفل در این‌مورد متفاوت است؛ برخی از وب‌سایت‌ها هم‌زمان با فشاردادن هر یک از دکمه‌های کیبورد داده‌ها را ذخیره می‌کنند درحالی‌که بسیاری دیگر داده‌های یک فیلد را به‌صورت یک‌جا و پس از کلیک روی فیلد بعدی جمع‌آوری می‌کنند.

آسومن سنول، محقق حوزه‌ی حریم‌خصوصی و هویت از دانشگاه لوون و یکی از نویسندگان گزارش این مطالعه می‌گوید:

در برخی از موارد وقتی روی فیلد بعدی کلیک می‌کنید آن‌ها داده‌های فیلد قبلی را جمع‌آوری می‌کنند؛ مثلاً ممکن است روی فیلد رمز عبور کلیک کنید و آن‌ها آدرس ایمیل را ذخیره می‌کنند یا این‌که حتی ممکن است در هر کجای صفحه کلیک کنید تا تمام داده‌ها به‌صورت یک‌جا جمع‌آوری شوند. ما انتظار نداشتیم که هزاران وب‌سایت این کار را بکنند؛ و در ایالات‌متحده این آمار بیشتر است که برای ما موضوع جالبی است.

محققان می‌گویند که تفاوت‌های منطقه‌ای ممکن است باعث شود شرکت‌ها در رهگیری کاربران محتاطانه‌تر عمل کنند و حتی به‌خاطر مقررات عمومی حفاظت از داده‌های اتحادیه‌ی اروپا با سرویس‌های ثالث کمتری همکاری کنند. بااین‌حال محققان تأکید می‌کنند که این توضیح تنها یکی از احتمالات ممکن است. آن‌ها می‌گویند در این مطالعه به بررسی توضیح این تفاوت در آمار پرداخته نشده است.

محققان پس از انجام تلاش‌های گسترده برای آگاه کردن وب‌سایت‌ها و سرویس‌های ثالث درمورد جمع‌آوری داده‌های کاربران به این نتیجه رسیدند که یکی از دلایل جمع‌آوری ناخواسته‌ی داده‌ها ممکن است ناشی از این موضوع باشد که برخی از وب‌سایت‌ها نمی‌توانند بین کارهایی که کاربران ممکن است در این وب‌سایت‌ها انجام دهند و عمل ارسال داده از سوی کاربر تفاوت قائل شوند. بااین‌حال محققان تأکید می‌کنند که وقتی از جنبه‌ی حفظ حریم خصوصی به این موضوع نگاه می‌کنیم این توجیه چندان متقاعد‌کننده به‌نظر نمی‌رسد.

این گروه از محققان پس از انتشار گزارش مطالعه‌ی خود به کشفیات تازه‌ای در مورد گوگل پیکسل و تیک‌تاک پیکسل نیز دست یافته‌اند. گوگل پیکسل و تیک‌تاک پیکسل نوعی ردیاب‌ بازاریابی نامرئی هستند که سرویس‌های دیجیتالی در وب‌سایت‌های خود از آن‌ها برای ردیابی و پایش رفتار کاربران در اینترنت و نمایش تبلیغات به آن‌ها استفاده می‌کنند. گوگل پیکسل و تیک‌تاک پیکسل هر دو در مستندات خود ادعا می‌کنند که هر کاربر هنگام پر کردن و ارسال فرم می‌تواند گزینه‌ی منطبق‌سازی پیشرفته‌ی خودکار را فعال کند تا فرایند جمع‌آوری خودکار داده‌ها شروع شود. اما محققان دریافتند که این سرویس‌ها در عمل می‌توانند نسخه‌ی درهم‌ریخته‌ای از آدرس‌های ایمیل را حتی قبل از ارسال آن‌ها از سوی کاربر ذخیره کرده و از آن‌ها برای ردیابی رفتار کاربران در پلتفرم‌های مختلف استفاده کنند.

درواقع ۸۴۳۸ وب‌سایت ممکن است ازطریق سرویس‌ پیکسل داده‌های کاربران ایالات‌متحده را دراختیار متا، شرکت مادر فیسبوک، قرار داده باشند. این آمار برای کاربران اتحادیه‌ی اروپا ۷۳۷۹ وب‌سایت بوده است. از طرف دیگر تیک‌تاک پیکسل نیز مسئول جمع‌آوری داده‌ها از۱۵۴ وب‌سایت برای کاربران ایالات‌متحده و ۱۴۷ وب‌سایت برای کاربران اتحادیه‌ی اروپا بوده است.

محققان در تاریخ ۲۵ مارس سال جاری میلادی (ششم فروردین ۱۴۰۱) یک گزارش باگ را به شرکت متا ارائه کردند و این شرکت نیز به‌سرعت یک مهندس را برای رفع این اشکال مأمور کرد. بااین‌حال از آن زمان تاکنون محققان در جریان امور قرار نگرفته و متا نیز هیچ گزارشی در این‌مورد منتشر نکرده است. این تیم تحقیقاتی در ۲۱ آوریل تیک‌تاک را نیز در جریان موضوع جمع‌آوری‌ بدون اجازه‌ی داده‌های کاربران قرار داده‌اند اما پاسخی از این شرکت دریافت نکرده‌اند. همچنین گفتنی است متا و تیک‌تاک به درخواست رسانه‌ها نیز برای ارائه‌ی توضیح در مورد این موضوع پاسخ نداده‌اند. آکار می‌گوید:

رفتار کاربران با دقت بالاتری ردیابی خواهد شد و این همان چیزی است که حریم خصوصی کاربران را بیشتر به خطر می‌اندازد؛ آن‌ها در پلتفرم‌های مختلف، در مواقع مختلف و ازطریق دسکتاپ و موبایل ردیابی می‌شوند. در زمینه‌ی تعیین هویت کاربران آدرس ایمیل یک ابزار شناساگر مفید برای ردیاب‌ها محسوب می‌شود چراکه منحصر به هر کاربر است و از آن به‌طور مستمر و گسترده استفاده می‌شود. آدرس ایمیل را نمی‌توانید مانند کوکی‌ها به‌‌راحتی پاک کنید. آدرس ایمیل یک شناساگر بسیار قدرتمند است.
مقاله رو دوست داشتی؟
نظرت چیه؟
داغ‌ترین مطالب روز
تبلیغات

نظرات