When you write a review, make a hotel reservation, you probably take for granted that if you change your mind and press X to exit the σελίδα, the message is deleted.
What we have known so far is that nothing happens until you press the Submit button, right?
Well, no. This does not always happen, according to new research: A large number of websites collect some or all of your data as you type.
Researchers from KU Leuven, Radboud University and the University of Lausanne have identified and analyzed 100.000 top websites, looking at scenarios in which a user visits a website while in the European Union and the United States.
They found that 1.844 websites were holding an EU user's email address without their consent, and around 2.950 were storing US users' emails. Many of the sites seem to not intend to log data, but integrate services third-party marketing and analytics that cause this behavior.
Then after specially scanning websites for code leaks access in May 2021, researchers also found 52 websites where third-party services, such as Russia's Yandex, were randomly collecting password data before submitting it. The team disclosed their findings to these services, and all 52 cases have since been patched.
"Εάν υπάρχει ένα κουμπί Υποβολή σε μια φόρμα, η εύλογη προσδοκία είναι ότι θα κάνει κάτι, δεν θα υποβάλει τα δεδομένα σας πριν κάνετε κλικ σε αυτό", αναφέρει ο Güneş Acar, καθηγητής και ερευνητής στην ομάδα ψηφιακής ασφάλειας του Πανεπιστημίου Radboud και ένας από τους πρωτεργάτες της μελέτης.
"Ήταν μεγάλη έκπληξη όλα αυτά τα αποτελέσματα. Σκεφτήκαμε ότι ίσως θα βρίσκαμε μερικές εκατοντάδες ιστοσελίδες που συλλέγουν email σας πριν τα υποβάλετε, αλλά αυτό ξεπέρασε κατά πολύ τις προσδοκίες μας.”
The researchers will present their findings at the Usenix security conference in August. They report that this behavior is similar to so-called keyloggers, which are usually malicious programs that record everything a user types. But on the top 1.000 websites, users do not expect anyone to record their information. In practice, the researchers observed some variations of the same behavior. Some sites record some of the typing data, and others snatch full submissions from one form's fields when users click the next (rather than send) one.
"Σε ορισμένες περιπτώσεις, όταν κάνετε κλικ για να πάτε στο επόμενο πεδίο, συλλέγουν το προηγούμενο, όπως όταν κάνετε κλικ στο πεδίο του κωδικού πρόσβασης συλλέγουν το email. Υπάρχουν και άλλες φόρμες που απλά κάνετε κλικ οπουδήποτε και συλλέγουν αμέσως όλες τις πληροφορίες", αναφέρει ο Asuman Senol, υπεύθυνος προστασίας προσωπικών δεδομένων, και ερευνητής στο KU Leuven και ένας από τους συν-συγγραφείς της μελέτης.
"Δεν περιμέναμε να βρούμε χιλιάδες ιστότοπους και στις ΗΠΑ, τα νούμερα είναι πραγματικά υψηλά, κάτι που είναι πολύ ενδιαφέρον".
The team also discovered a lot of interest in the Meta Pixel and TikTok Pixel features. These are essentially invisible marketing crawlers that administrators embed in their sites to track users on the web and show them ads.
Και τα δύο χαρακτηριστικά ισχυρίζονται ότι οι χρήστες μπορούν να απενεργοποιήσουν την "αυτόματη σύνθετη αντιστοίχιση", η οποία απενεργοποιεί τη collection data when a user submits a form.
In practice, however, the researchers found that these tracking pixels snatched fragmented email addresses, a covert version of email addresses used to identify web users across multiple platforms, before submitting the form.
For US users, 8.438 sites leak data to Meta, Facebook's parent company, via Meta Pixel, and 7.379 sites influence EU users. For TikTok Pixel, the team found 154 sites for US users and 147 for its users EU.
