当前所在位置: 首页 > 全网热点

近五千网站被曝“偷看”用户输入:还没点确定,信息就被发走

2022-05-14 本站作者 【 字体:

只是在登录界面打了几个字母,网站居然在没有确认和提交的情况下就抓取了打出来的内容?

是的,根据欧洲顶级研究学术机构——荷兰拉德堡大学、洛桑大学、鲁汶大学三位科学家的最新研究,在全球排名前10万的网站中,有近5000家门户网站做到了这一点,如福克斯新闻频道、商业内幕、时代等网站。

通过研究人员制作的爬虫脚本,我们可以看到,在某网站的登录界面输入邮箱地址,并将鼠标移动到下一个输入框后,该网站的后台已经准确抓取了输入的数据:

用研究人员的话说,就是“当点击下一个字段时,他们会收集上一个字段”,包括用户每次修改的数据,甚至是账号密码。

那么,这种抓取行为是怎么做到的呢?

其实很多常见的登录窗口都是表单网页,这是HTML中的一个概念,可以让网页与用户进行交互,将用户填写的数据发送到服务器。因此,这些网页也可以看作是一个或多个表格,输入的信息如用户名、密码、电子邮件地址等。是表格中的数据行。

不仅要满足基本的网页交互需求,还要满足其他需求——比如检查键入的数据是否符合要求——用户的所有在线活动,包括鼠标点击和数据键入,对于网页来说都是“透明的”和“可抓取的”。

因此,许多网站会使用一些第三方追踪器来监控用户,并提供服务、广告和营销活动。

这些活动是否合法,在于网页只是暂时抓取数据进行合法的交互,或者进行跨网站、跨平台、持久的识别。

以Meta为例,其开发了第三方网站事件管理/收集工具Meta Pixel。

Meta Pixel有一个叫“自动高级匹配”的功能,可以自动从网页的表单数据中收集个人标识符。通过这种身份认证,可以锁定同一用户在不同平台的操作,进而衡量广告的转化率和效果。

同时,官方文档还声明Meta Pixel只有在用户提交表单时才会触发数据收集。

然而,研究人员在调查中发现,当Meta Pixel脚本不能识别提交按钮或提交事件的监视器(表单)时,它也会触发数据收集机制。

也就是说,在用户点击提交按钮甚至放弃表单关闭网页之前,带有这个跟踪器的网站已经收集了个人数据。

据课题组统计,可能有超过1.5万个网站通过Meta Pixel泄露了信息。

此外,另一知名第三方网站事件管理工具抖音Pixel也存在与Meta Pixel相同的问题,涉及数百家网站的信息泄露。

研究人员选出了美国和欧盟十大信息泄露最多的网站。可以看出,第三方网站事件管理工具除了以上两者之外,还包括taboola、Bizible等广告主。

据了解,Asuman Senol、Gunes Acar和Mathias Humbert三名研究人员去年开始了他们的调查,爬了超过10万个网站。发现问题后,该团队于今年3月向Meta提交了错误报告。该公司很快指派了一名工程师处理此案,但从那以后,它再也没有收到更新的报告。抖音在被告知后没有进一步回应。

研究团队表示,针对上述问题,他们已经开发了一个插件来检测网页上的非法表单,并将在今年8月的Usenix安全会议上展示他们的研究结果,包括调查结果和爬虫程序的组成。

采写:南都见习记者杨博文

阅读全文