Sitios roban usuarios y contraseñas en formularios aún NO enviados
Una nueva investigación publicada por académicos de KU Leuven, Radboud University y University of Lausanne ha revelado que las direcciones de correo electrónico de los usuarios se filtran a dominios de seguimiento, marketing y análisis antes de enviar dicha información y sin consentimiento previo.
El estudio involucró el rastreo de 2,8 millones de páginas de los 100 sitios web principales y descubrió que hasta 1.844 sitios web permitían a los rastreadores capturar direcciones de correo electrónico antes de enviar formularios en la Unión Europea, un número que saltó a 2.950 cuando se visitó el mismo conjunto de sitios web desde los Estados Unidos.
"Los correos electrónicos (o sus hashes) se enviaron a 174 dominios distintos en el rastreo de EE.UU. y a 157 dominios distintos en el rastreo de la UE", dijeron los investigadores. Además, se determinó que 52 sitios web recopilaban contraseñas de la misma manera, un problema que desde entonces se ha solucionado tras la divulgación responsable.
LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak y Oracle representaron algunos de los principales dominios de seguimiento de terceros a los que se han transmitido las direcciones de correo electrónico, mientras que Yandex, Mixpanel y LogRocket lideran el lista en la categoría de obtención de contraseñas.
"Ciertos terceros envían direcciones de correo electrónico carácter por carácter, a medida que el usuario escribe su dirección. Este comportamiento parece deberse a secuencias de comandos de reproducción de sesión que recopilan las interacciones de los usuarios con la página, incluidas las pulsaciones de teclas y los movimientos del mouse".
La idea detrás de la recopilación de direcciones de correo electrónico ingresadas en formularios en línea, incluso en los casos en que los usuarios no envían ningún formulario, también se ha visto impulsada por los intentos continuos de los proveedores de navegadores de dejar de admitir cookies de terceros, lo que obliga a los especialistas en marketing a buscar identificadores estáticos alternativos. para rastrear a los usuarios.
"A pesar de llenar los campos de correo electrónico en cientos de sitios web categorizados como pornografía, no tenemos una sola fuga de correo electrónico", muestran los hallazgos, y señalan cómo se alinea con estudios anteriores que han demostrado que los sitios web para adultos tienen relativamente menos rastreadores de terceros en comparación con sitios generales con una popularidad comparable.
Además, tal práctica puede violar al menos tres requisitos diferentes del Reglamento General de Protección de Datos (GDPR) en la UE, contraviniendo los principios de transparencia, limitación del propósito y consentimiento del usuario.
En los últimos años, los fabricantes de navegadores, con la notable excepción de Google Chrome y Brave, han introducido nuevos mecanismos para restringir las cookies entre sitios, pero se ha descubierto que tanto Apple Safari como Mozilla Firefox no hacen nada para protegerse contra los scripts que exportan direcciones de correo electrónico con fines de seguimiento.
Una contramedida contra este método de seguimiento es instalar extensiones de bloqueo en el navegador o cambiar a navegadores que vienen con la función de bloqueo de anuncios integrada, independientemente del tipo de dispositivo utilizado.
"Los usuarios deben asumir que la información personal que ingresan en los formularios web puede ser recopilada por rastreadores, incluso si el formulario nunca se envía", concluyeron los investigadores, y solicitaron una mayor investigación por parte de los proveedores de navegadores, los desarrolladores de herramientas de privacidad y las agencias de protección de datos.
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!