Seyyid
Seyyid
خواندن ۲ دقیقه·۳ سال پیش

جمع آوری داده ها قبل از ارسال فرم ها

یکتحقیقیانجامشدهروی100هزاروبسایترنکبالاومشخصشدهکهتوبرخیازاینسایتهاشماقبلازاینکهدکمهارسالروفشاربدید،دادههایتایپشدهشمابهردیابهایوبشخصثالثارسالمیشن.

این اطلاعات لو رفته شامل شناسه‌های شخصی، آدرس‌های ایمیل، نام‌های کاربری، گذرواژه‌ها یا حتی پیام‌هایی است که در فرم‌ها وارد شده و سپس حذف شده و هرگز ارسال نشده‌اند.

این نشت داده‌ها یواشکی انجام میشه چون کاربران اینترنت تصور می‌کنند اطلاعاتی که در وب‌سایت‌ها تایپ می‌کنند تا زمانی که اونارو ارسال نکردن ذخیره نمیشه، اما برای تقریباً 3 درصد از تمام سایت‌های آزمایش‌شده، این مورد صادق نبود.

این تحقیق توسط محققان دانشگاه kuleuven انجام شده و برای تحقیق از یک crawler مبتنی بر ابزار DuckDuckGo's Tracker Radar Collector استفاده کردند. crawler با استفاده از یادگیری ماشین آموزش داده شده بود تا فیلدهای ایمیل و رمزعبور رو پیدا کنه. شکل زیر دیاگرام این ابزار رو نشون میده


محققا 2.8 میلیون صفحه رو روی 100 هزار سایت رنک بالا به این ابزار دادند و متوجه شدند که 1844 تا از صفحات که از اروپا بازدید می شدند و 2950 تا از اونها وقتی از آمریکا بازدید میشدند ، اجازه میدن تا کاربر قبل از ارسال داده ها ، به این فیلدها دسترسی داشته باشن.

در نهایت محققان 52 وب سایت رو لیست کردند که دارای این نقص بودند. البته به سایتها گزارش شده و این مشکل رو رفع کردند.

هدف از ردیابی کاربران اغلب بررسی و تحلیل فعالیت کاربران برای ارائه پیشنهادات بهتر و البته افزایش فروش و ... است. اما ردیابهای شخص ثالث از این داده ها برای جنبه های تبلیغات هدفمند استفاده میکنند.اما برخی از این ردیابهای شخص ثالث از اسکریپتهایی در داخل فرم ها استفاده میکنند که کلیدهای فشرده شده کاربران را قبل از ارسال ،لاگ میکنه.

Top sites using leaky trackers
Top sites using leaky trackers


براساس این تحقیق برخی از این ردیابهای شخص ثالث دارای چنین نقصی هستند که البته استفاده از آنها هم رایجه از جمله : در رهگیری ایمیل ها ، LiveRamp در 662 سایت یا Taboola در 383 سایت یا Verizon در 255 سایت و Adobe's Bizible در191 سایت. در رهگیری پسوردها Yandex بالاترین رتبه را به خودش اختصاص داده.


آمارهای مرتبط با اروپا و آمریکا به قوانین GDPR اشاره داره که یه نهاد قانونی برای محافظت از داده های کاربران در اتحادیه اروپاست. طبق این تحقیق دسترسی به ایمیل افراد 3 اصل این قانون یعنی اصل شفافیت ، عدم وجود درخواست رضایت و اصل محدودیت هدف رو نقض کرده. طبق این قانون در صورت نقضش ، متخلف تا 20 هزار یورو یا 4 درصد از گردش مالی یکساله خودش رو بعنوان جریمه باید بپردازه.

اما ما کاربران باید چیکار کنیم :

یکی از روش ها مسدود کردن این ردیابها با استفاده از مرورگرهاست. مرورگرها مدرن چنین امکانی رو در قسمت تنظیمات حریم خصوصی در اختیار ما قرار میدن.

همچنین برخی سرویسهای ایمیل خصوصی امکان استفاده از ایمیل مستعار رو فراهم میکنند که در صورتیکه لیک بشه ایمیل اصلی براش مشکلی پیش نمیاد.

در آخر محققین یه افزونه بنام Leak Inspector نوشتن که در صورت مشاهده چنین مشکلاتی یک هشدار به شما میدن.

برای دسترسی به تحقیق و دریافت اطلاعات بیشتر میتونید اینجا رو ببینید.


ما را در تلگرام دنبال کنید

یه قهوه برای من بخر

ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام

اولین شماره از نشریه تخصصی امنیت سایبری با موضوعات مختلف و بروز

امنیت سایبرییادگیری ماشینgdpr
علاقمند به باگ بانتی ، توسعه اکسپلویت و ابزارهای امنیتی و دنیای آبی
شاید از این پست‌ها خوشتان بیاید