این اطلاعات لو رفته شامل شناسههای شخصی، آدرسهای ایمیل، نامهای کاربری، گذرواژهها یا حتی پیامهایی است که در فرمها وارد شده و سپس حذف شده و هرگز ارسال نشدهاند.
این نشت دادهها یواشکی انجام میشه چون کاربران اینترنت تصور میکنند اطلاعاتی که در وبسایتها تایپ میکنند تا زمانی که اونارو ارسال نکردن ذخیره نمیشه، اما برای تقریباً 3 درصد از تمام سایتهای آزمایششده، این مورد صادق نبود.
این تحقیق توسط محققان دانشگاه kuleuven انجام شده و برای تحقیق از یک crawler مبتنی بر ابزار DuckDuckGo's Tracker Radar Collector استفاده کردند. crawler با استفاده از یادگیری ماشین آموزش داده شده بود تا فیلدهای ایمیل و رمزعبور رو پیدا کنه. شکل زیر دیاگرام این ابزار رو نشون میده
محققا 2.8 میلیون صفحه رو روی 100 هزار سایت رنک بالا به این ابزار دادند و متوجه شدند که 1844 تا از صفحات که از اروپا بازدید می شدند و 2950 تا از اونها وقتی از آمریکا بازدید میشدند ، اجازه میدن تا کاربر قبل از ارسال داده ها ، به این فیلدها دسترسی داشته باشن.
در نهایت محققان 52 وب سایت رو لیست کردند که دارای این نقص بودند. البته به سایتها گزارش شده و این مشکل رو رفع کردند.
هدف از ردیابی کاربران اغلب بررسی و تحلیل فعالیت کاربران برای ارائه پیشنهادات بهتر و البته افزایش فروش و ... است. اما ردیابهای شخص ثالث از این داده ها برای جنبه های تبلیغات هدفمند استفاده میکنند.اما برخی از این ردیابهای شخص ثالث از اسکریپتهایی در داخل فرم ها استفاده میکنند که کلیدهای فشرده شده کاربران را قبل از ارسال ،لاگ میکنه.
براساس این تحقیق برخی از این ردیابهای شخص ثالث دارای چنین نقصی هستند که البته استفاده از آنها هم رایجه از جمله : در رهگیری ایمیل ها ، LiveRamp در 662 سایت یا Taboola در 383 سایت یا Verizon در 255 سایت و Adobe's Bizible در191 سایت. در رهگیری پسوردها Yandex بالاترین رتبه را به خودش اختصاص داده.
آمارهای مرتبط با اروپا و آمریکا به قوانین GDPR اشاره داره که یه نهاد قانونی برای محافظت از داده های کاربران در اتحادیه اروپاست. طبق این تحقیق دسترسی به ایمیل افراد 3 اصل این قانون یعنی اصل شفافیت ، عدم وجود درخواست رضایت و اصل محدودیت هدف رو نقض کرده. طبق این قانون در صورت نقضش ، متخلف تا 20 هزار یورو یا 4 درصد از گردش مالی یکساله خودش رو بعنوان جریمه باید بپردازه.
اما ما کاربران باید چیکار کنیم :
یکی از روش ها مسدود کردن این ردیابها با استفاده از مرورگرهاست. مرورگرها مدرن چنین امکانی رو در قسمت تنظیمات حریم خصوصی در اختیار ما قرار میدن.
همچنین برخی سرویسهای ایمیل خصوصی امکان استفاده از ایمیل مستعار رو فراهم میکنند که در صورتیکه لیک بشه ایمیل اصلی براش مشکلی پیش نمیاد.
در آخر محققین یه افزونه بنام Leak Inspector نوشتن که در صورت مشاهده چنین مشکلاتی یک هشدار به شما میدن.
برای دسترسی به تحقیق و دریافت اطلاعات بیشتر میتونید اینجا رو ببینید.
ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام
اولین شماره از نشریه تخصصی امنیت سایبری با موضوعات مختلف و بروز
