La tua email e password potrebbero essere registrate a tua insaputa

Uno studio approfondito rivela che fino al 3% dei siti Web può raccogliere gli input dei moduli anche prima di premere “Invia”. Esatto: anche se digiti qualcosa e poi lo elimini, questi siti Web registreranno comunque le tue battute e ricorderanno le cose che hai scelto di non inserire.

I dati, raccolti a tua insaputa e senza il tuo consenso, possono contenere alcune delle informazioni più personali, che possono essere successivamente utilizzate per vari scopi, come annunci mirati.

Elenco di siti Web che tengono traccia degli indirizzi e-mail prima dell'invio.
Kuleuven

Lo studio si intitola ” Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission ” ed è stato condotto da ricercatori universitari su un ampio campione di 100.000 dei siti Web più quotati al mondo, per un totale di 2,8 milioni pagine.

Utilizzando un crawler di siti Web (basato su Tracker Radar Collector di DuckDuckGo) i ricercatori hanno setacciato Internet e sono tornati con risultati sbalorditivi. Sebbene la maggior parte di noi presuppone che i siti Web registrino solo le cose che scriviamo quando le inviamo, sembra che per un massimo di 2.950 siti su 100.000 campionati, semplicemente non fosse vero. Sembra che, fino al 3% delle volte, i tracker raccolgano dati dal momento in cui vengono digitati nel modulo.

I siti Web utilizzano i tracker per molte ragioni, ma per la maggior parte vengono utilizzati per personalizzare la tua esperienza di navigazione e per raccogliere informazioni sull’attività dei visitatori. In teoria, dovrebbe essere anonimo, ma ovviamente gli identificatori personali restringono le cose molto.

I tracker possono essere utili, in quanto consentono ai siti Web di sapere a quale tipo di contenuto gli utenti sono più interessati. Tuttavia, tracker di terze parti vengono utilizzati per aiutare gli inserzionisti a garantire che gli annunci che vedi siano mirati, il che significa che è più probabile che tu lo faccia fare clic e acquistare qualcosa.

Il crawler utilizzato nella ricerca era dotato di un classificatore di apprendimento automatico precedentemente addestrato a rilevare i campi di posta elettronica e password e quindi a intercettare qualsiasi potenziale accesso di script a tali campi. Sembra che molti tracker di terze parti siano stati catturati utilizzando script che monitorano le sequenze di tasti quando il visitatore digita all’interno di un modulo. Se i tracker salvano le informazioni prima che vengano inviate, alcuni di loro sarebbero in grado di raccogliere indirizzi e-mail e password senza il consenso dell’utente.

Tracker interessati da perdite di password.
Kuleuven

Il fatto che alcuni tracker di terze parti siano stati in grado di raccogliere sequenze di tasti e quindi dati, prima che qualsiasi cosa venisse inviata, è decisamente allarmante. Secondo i ricercatori, questo problema riguarda una piccola percentuale di tracker, ma sono piuttosto diffusi sul web. I maggiori colpevoli erano LiveRamp (662 siti web), Taboola (383), Verizon (255) e Bizible (191). Questi tracker erano presenti sui siti Web in cui venivano registrati gli indirizzi e-mail. Quando si tratta di strappare le password, i tracker Yandex sono in cima alla lista.

Un fattore interessante della ricerca è che gli utenti europei sono stati sottoposti a meno tentativi di estrazione di e-mail/password rispetto agli utenti negli Stati Uniti. Solo 1.844 siti Web hanno consentito ai tracker di farlo quando visitati dall’Europa, rispetto ai 2.950 degli utenti negli Stati Uniti.

Gli utenti in Europa sono protetti dal GDPR, un insieme di norme legali in materia di dati personali. Secondo lo studio, l’esfiltrazione di e-mail tramite tracker viola almeno tre leggi del GDPR. La violazione del GDPR può comportare sanzioni enormi che arrivano fino a 20 milioni di euro o fino al 4% del fatturato annuo globale dell’entità in questione.

I punti salienti dello studio sono stati pubblicati dai ricercatori insieme a una versione completa e molto più tecnica per coloro che vogliono saperne di più. Questo è stato poi condiviso per la prima volta da Bleeping Computer . È importante notare che la metà delle prime e delle terze parti elencate ha risposto ai ricercatori e ha affermato che la raccolta era dovuta a un errore.

Se vuoi proteggerti da tracker simili, potrebbe essere una buona idea disabilitare del tutto i tracker di terze parti: puoi farlo nelle impostazioni del tuo browser. È anche considerata una buona pratica cambiare la password ogni tanto. I gestori di password possono rivelarsi utili se stai manipolando molte password diverse che cambiano regolarmente.