Кілька тисяч популярних сайтів мають програмне забезпечення, яке таємно відстежує все, що ви пишете — навіть якщо текст не був збережений і ви його стерли.
Вчені з Левенського католицького університету, Університету Наймегена та Лозанського Університету зазирнули «під капот» найпопулярніших сайтів у світі та з’ясували інтригуючі та навіть страшні подробиці їхньої роботи. Всі подробиці роботи дослідників можна вивчити у їхній статті.
Коли ви реєструєтеся на сайті, ви очікуєте, що він отримає ваші дані лише після того, як ви «відправите» їх йому, натиснувши відповідну кнопку. Що ж, не все так просто: група дослідників цифрової безпеки з’ясувала, що багато популярних сайтів збирають введену вами інформацію в момент, коли ви друкуєте. Ба більше, якщо ви передумаєте реєструватися на сайті, попередньо надрукувавши адресу своєї електронної пошти, деякі з них спокійнісінько збережуть її собі. Звичайно ж, ви про це нічого не дізнаєтесь.
Дослідники проаналізували 100 тис. сайтів, застосувавши два сценарії — якщо користувач відвідує сайт, перебуваючи на території країни ЄС, та із США. З’ясувалося, що 1844 сайти записують адресу електронної пошти європейських користувачів без їхньої згоди. Для американців ситуація ще гірша — таких сайтів назбиралося аж 2950.
Також сайти просканували щодо витоків паролів. З’ясувалося, що 52 сайти індексували паролі користувачів ще до того, як ті натискали кнопку «відправити». Серед них, до речі, опинився і «російський Google» — Яндекс. Після того, як дослідники повідомили про проблему адміністрації кожного сайту, проблема була усунена.
«Якщо є кнопка „відправити“, розумно очікувати, що вона відправить ваші дані після натискання на неї», — каже Гюнеш Акар, професор і дослідник групи цифрової безпеки Університету Неймегена, який керував дослідженням, в інтерв’ю Wired. За його словами, група очікувала, що знайдеться кілька сайтів, які фіксують електронну пошту користувача ще до відправки, проте результат перевершив усі їхні очікування.
Дослідники зафіксували кілька сценаріїв, за якими працюють такі сайти. Деякі з них реєструють кожне натискання кнопки клавіатури, проте більшість з-поміж них отримували всю інформацію з одного поля, коли користувач переходив на наступне. Тобто, якщо ви ввели свою електронну пошту і натиснули на поле, де потрібно ввести пароль, сайт збирає інформацію з поля електронної пошти.
Причину того, що деякі сайти збирають інформацію в США, але не збирають у ЄС, дослідники пояснюють наявністю Загального регламенту ЄС щодо захисту даних. У США відповідного документа немає, що розв’язує несумлінним адміністраторам руки. Дослідники зазначають, що це лише їхнє припущення, яке ще потрібно перевірити.
Також дослідники з’ясували, що багато сайтів використовують маркетингові трекери Meta Pixel і TikTok Pixel, які відстежують дії користувачів та показують їм релевантну рекламу. Ці трекери також фіксують поведінку користувача — те, що він вводить та стирає — і відправляють на свої сервери. До того ж сайти використовують їх досить активно — як мінімум 8438 сайтів у США та 7379 сайтів у ЄС використовували трекер компанії Meta.
Дослідники звернулися до Meta й TikTok, проте не отримали практично жодної відповіді. Компанія Цукерберга швидко призначила інженера, який нібито має розібратися з проблемою, проте далі робота так і не зрушила з місця.
Акар пояснює, що це велика проблема для конфіденційності користувачів, адже у такий спосіб їхню поведінку можна відслідковувати ще ефективніше незалежно від того, використовує людина комп’ютер, планшет або смартфон. «Адреса електронної пошти — дуже корисний ідентифікатор для відстеження, оскільки він глобальний, унікальний і постійний. Ви не можете стерти ще, наприклад, файли cookie. Це дуже потужний інструмент».
