일부 상위 100,000개 웹사이트는 제출을 누르기 전에 입력한 모든 정보를 수집합니다.

뉴스레터에 가입하거나 호텔을 예약하거나 온라인으로 체크아웃할 때 이메일 주소를 세 번 잘못 입력하거나 마음이 바뀌고 페이지 밖으로 X가 나와도 상관없다는 것을 당연하게 여길 것입니다. 제출 버튼을 누르기 전까지는 아무 일도 일어나지 않습니다. 맞죠? 글쎄, 아마도. 새로운 연구에 따르면 웹에 대한 수많은 가정과 마찬가지로 항상 그런 것은 아닙니다. 놀라운 수의 웹사이트에서 사용자가 데이터를 디지털 형식으로 입력할 때 데이터의 일부 또는 전체를 수집하고 있습니다.

KU Leuven, Radboud University 및 University of Lausanne의 연구원은 상위 100,000개의 웹사이트를 크롤링하고 분석하여 사용자가 유럽 연합에 있는 동안 사이트를 방문하고 미국에서 사이트를 방문하는 시나리오를 살펴보았습니다. 그들은 1,844개의 웹사이트가 동의 없이 EU 사용자의 이메일 주소를 수집했으며 2,950개의 엄청난 웹사이트가 어떤 형태로든 미국 사용자의 이메일을 기록했다는 사실을 발견했습니다. 많은 사이트가 데이터 로깅을 수행할 의도가 없는 것 같지만 행동을 유발하는 타사 마케팅 및 분석 서비스를 통합합니다.

연구원들은 2021년 5월에 비밀번호 유출 사이트를 구체적으로 크롤링한 후 러시아 기술 대기업 Yandex를 포함한 제3자가 제출 전에 비밀번호 데이터를 우연히 수집한 52개의 웹사이트도 발견했습니다. 그룹은 이러한 사이트에 조사 결과를 공개했으며 이후 52개 사례가 모두 해결되었습니다.

Radboud University 디지털 보안 그룹의 교수이자 연구원이자 리더 중 한 명인 Güneş Acar는 “양식에 제출 버튼이 있으면 클릭하면 데이터를 제출할 것이라는 합리적인 기대가 있습니다. 연구의. “우리는 이러한 결과에 매우 놀랐습니다. 제출하기 전에 이메일을 수집하는 수백 개의 웹사이트를 찾을 것이라고 생각했지만 이는 우리의 예상을 훨씬 뛰어넘었습니다.”

8월 Usenix 보안 컨퍼런스에서 연구 결과를 발표할 연구원들은 특히 Gizmodo의 언론 보도를 통해 “누출 형태”라고 부르는 것을 조사하도록 영감을 받았다고 말합니다., 제출 상태에 관계없이 양식 데이터를 수집하는 제3자에 대한 정보. 그들은 핵심적으로 동작이 소위 키로거와 유사하다고 지적합니다. 이는 일반적으로 모든 대상 유형을 기록하는 악성 프로그램입니다. 그러나 주류 상위 1,000개 사이트에서 사용자는 아마도 자신의 정보가 키로 기록되기를 기대하지 않을 것입니다. 그리고 실제로 연구자들은 행동의 몇 가지 변형을 보았습니다. 일부 사이트는 키 입력으로 데이터 키 입력을 기록했지만 많은 사이트는 사용자가 다음 필드를 클릭할 때 한 필드에서 완전한 제출을 가져왔습니다.

개인 정보 보호 담당자인 Asuman Senol은 “경우에 따라 다음 필드를 클릭하면 비밀번호 필드를 클릭하면 이메일을 수집하거나 아무 곳이나 클릭하면 즉시 모든 정보를 수집하는 것처럼 이전 필드를 수집합니다.”라고 말합니다. KU Leuven의 신원 연구원이자 연구 공동 저자 중 한 명입니다. 그리고 미국에서는 그 수치가 정말 높아서 흥미롭습니다.”

연구원들은 지역적 차이가 EU의 일반 데이터 보호 규정(General Data Protection Regulation)으로 인해 회사가 사용자 추적에 대해 더 신중하고 잠재적으로 더 적은 수의 제3자와 통합하는 것과 관련이 있을 수 있다고 말합니다. 그러나 그들은 이것이 하나의 가능성일 뿐이라고 강조하며, 연구에서는 그 격차에 대한 설명을 검토하지 않았습니다.

이러한 방식으로 데이터를 수집하는 웹사이트와 제3자에게 알리기 위한 상당한 노력을 통해 연구원들은 예상치 못한 데이터 수집에 대한 한 가지 설명이 특정 웹에서 “제출” 작업을 다른 사용자 작업과 구별하는 문제와 관련이 있을 수 있음을 발견했습니다. 페이지. 그러나 연구자들은 프라이버시 관점에서 이것이 적절한 정당성이 아니라고 강조합니다.

논문을 완성한 이후 이 그룹은 메타 픽셀(Meta Pixel)과 틱톡 픽셀(TikTok Pixel)에 대해서도 발견했습니다. 이 보이지 않는 마케팅 추적기 서비스는 웹에서 사용자를 추적하고 광고를 표시하기 위해 웹사이트에 삽입했습니다. 둘 다 문서에서 사용자가 양식을 제출할 때 데이터 수집을 트리거하는 “자동 고급 일치”를 켤 수 있다고 주장했습니다. 그러나 실제로 연구원들은 이러한 추적 픽셀이 제출 전에 여러 플랫폼에서 웹 사용자를 식별하는 데 사용되는 모호한 버전의 이메일 주소인 해시된 이메일 주소를 포착하고 있음을 발견했습니다. 미국 사용자의 경우 8,438개 사이트가 픽셀을 통해 Facebook의 모회사인 Meta에 데이터를 유출했을 수 있으며 EU 사용자의 경우 7,379개 사이트가 영향을 받을 수 있습니다. TikTok Pixel의 경우 그룹은 미국 사용자의 경우 154개, EU 사용자의 경우 147개 사이트를 찾았습니다.

연구원들은 3월 25일 메타에 버그 보고서를 제출했고 회사는 신속하게 해당 사례에 엔지니어를 할당했지만 그룹은 그 이후로 업데이트를 듣지 못했습니다. 연구원들은 4월 21일 TikTok에 알렸고(최근에 TikTok 행동을 발견했습니다) 답장을 받지 못했습니다. Meta와 TikTok은 WIRED의 조사 결과에 대한 논평 요청을 즉시 반환하지 않았습니다.

“사용자의 개인 정보 위험은 사용자가 훨씬 더 효율적으로 추적된다는 것입니다. 다양한 웹사이트, 다양한 세션, 모바일 및 데스크톱에서 추적할 수 있습니다.”라고 Acar는 말합니다. “이메일 주소는 글로벌하고 고유하며 일정하기 때문에 추적에 매우 유용한 식별자입니다. 쿠키를 지우는 것처럼 지울 수는 없습니다. 이것은 매우 강력한 식별자입니다.”

Acar는 또한 기술 회사가 개인 정보 보호 문제에 대한 경의를 표하기 위해 쿠키 기반 추적을 단계적으로 중단하려고 함에 따라 마케팅 담당자 및 기타 분석가가 전화 번호 및 이메일 주소와 같은 고정 ID에 점점 더 많이 의존하게 될 것이라고 지적합니다.

조사 결과에 따르면 양식을 제출하기 전에 데이터를 삭제하는 것은 모든 수집으로부터 자신을 보호하기에 충분하지 않을 수 있으므로 연구원들은 LeakInspector라는 Firefox 확장을 만들어 악성 양식 수집을 감지했습니다. 그리고 그들은 그들의 발견이 일반 웹 사용자뿐만 아니라 자신의 시스템이나 사용 중인 제3자가 데이터를 수집하지 않고 양식에서 데이터를 수집하고 있는지 사전에 확인할 수 있는 웹사이트 개발자와 관리자에게 이 문제에 대한 인식을 제고하기를 희망한다고 말합니다. 동의.

누출 양식은 이미 매우 혼잡한 온라인 분야에서 주의해야 할 데이터 수집 유형 중 하나일 뿐입니다.

이 이야기는 원래wired.com에 나타났습니다.

Leave a Reply

Your email address will not be published.