XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT XİDMƏTİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ

İnsident bildir

Xəbərlər > Veb izləyicilər hətta göndər düyməsini basmadan öncə onlayn formalara nəzarəti ələ ala bilirlər.

22 May 2022

Intercepting Online Forms

KU Leuven, Radboud və Lozanna Universitetlərinin professorları tərəfindən nəşr edilən yeni tədqiqat işində, araşdırma zamanı istifadəçilərin e-poçt ünvanlarının öncədən razılıq istənmədən izləmə, marketinq və analitika domenlərinə ötürüldüyü aşkar edildi. Tədqiqat zamanı 100 ən yaxşı veb saytdan 2,8 milyon səhifə araşdırılmış, və nəticədə Avropa İttifaqında təxminən 1844 veb-saytın izləyicilərə forma təqdim etməzdən əvvəl e-poçt ünvanlarına nəzarəti ələ almağa icazə verdiyini müəyyən etdi, həmin veb-saytlara ABŞ-da daxil olduqda bu rəqəm 2950-yə yüksəldi. Tədqiqatçıların məlumatına görə, "E-poçtlar (və ya onlara aid önəmsiz məlumatları) ABŞ-a məxsus veb axtarış səhifəsində 174 fərqli domenə (eTLD+1), Avropa Birliyində isə 157 fərqli domenə göndərilib". Bundan əlavə, 52 veb-saytın şifrələri eyni şəkildə toplayacağı müəyyən edildi, bu problem məsul şəxslərin açıqlamasından sonra həllini tapdı.

Yandex, Mixpanel və LogRocket şifrə ələ keçirmə kateqoriyası üzrə siyahıya liderlik etdiyi halda, LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta Platforms, TikTok, Salesforce, Listrak və Oracle e-poçt ünvanlarının yönləndirildiyi ən yaxşı üçüncü tərəf izləyici domenlərindən bəzilərini təşkil edir.

 

Tədqiqatçılar həmçinin bildirir ki,  “Bəzi üçüncü tərəflər istifadəçi öz ünvanını necə daxil edibsə o formada e-poçt ünvanlarını hərfbəhərf eyni göndərə bilirlər”. Görünür bu proses istifadəçilərin düymələrə basma və maus hərəkətləri daxil olmaqla, səhifə ilə qarşılıqlı əlaqəsinə nəzarət edən təkrarlarla əlaqəlidir." üst kateqoriyalar kimi ortaya çıxan moda/gözəllik, onlayn alış-veriş və ümumi xəbərlər -> moda/gözəllik, onlayn alış-veriş, ümumi xəbərlər, proqram/aparat təminatı və biznes. E-poçt ünvanları bir sıra üstünlüklər yaradır. Onlar unikal olmaqla yanaşı eyni zamanda üçüncü tərəflərə istifadəçiləri cihazlarda izləməyə imkan verir. Bu həmçinin onlayn və oflayn fəaliyyətlərin uyğunlaşdırılması zamanı istifadə edilə bilər. Mağazada alış-veriş edərkən, sizdən e-poçtunuzun və ya müştəri kartı üçün qeydiyyatdan keçməyinizin tələb olunması kimi vəziyyətlər buna misal ola bilər. İstifadəçilərin heç bir forma təqdim etmədiyi hallarda belə onlayn formalarda daxil edilmiş e-poçt ünvanlarının ələ keçirilməsi ideyası, həmçinin brauzer satıcılarının üçüncü tərəf kukilərinə dəstəyi dayandırmaq üçün davam edən cəhdləri etməyə sövq etmiş və marketoloqları istifadəçiləri izləmək üçün alternativ statik identifikatorlar axtarmağa vadar etmişdir.

Bu ilk dəfə yaşanan bir hal deyildir. 2017-ci ilin iyun ayında Gizmodo aşkar etdi ki, NaviStone adlı üçüncü tərəf ipoteka kalkulyatoru formalarından şəxsi məlumatlar göndərilməzdən öncə ələ keçirə bilir. Çox az sayda veb-saytlar bu praktikanı öz məxfilik siyasətlərində açıq şəkildə açıqlayır.

Beş il sonra da dəyişən bir şey olmadı. Tədqiqatçılar bildirir ki, moda/gözəllik, onlayn alış-veriş və ümumi xəbərlər haqqındakı vebsaytlar ən çox “həssas məlumat ötürən formalar”-a malik üst kateqoriyalar kimi ortaya çıxır. “Pornoqrafiya kimi təsnif edilən yüzlərlə internet saytında e-poçt sahələrinin doldurulmasına baxmayaraq, bir dənə də olsun e-poçt məlumat ötürücümüz yoxdur". Nəticələr əvvəlki araşdırmalarla üst-üstə düşür, böyüklər üçün nəzərdə tutulmuş vebsaytların oxşar populyarlıqdakı ümumi saytlarla müqayisədə üçüncü tərəf izləyiciləri nisbətən azdır. Həmçinin belə bir təcrübə Avropa Birliyində ən azı üç müxtəlif Ümumi Məlumatların Qorunması Qaydasının (GDPR) tələblərini poza bilər və bu da öz növbəsində şəffaflıq, məqsəd məhdudiyyəti və istifadəçi razılığı prinsiplərinə ziddir. Son illərdə Google Chrome istisna olmaqla brauzer istehsalçıları saytlararası kukiləri məhdudlaşdırmaq üçün yeni mexanizmlər təqdim etdilər, lakin həm Apple Safari həm də Mozilla Firefox izləmə məqsədləri üçün e-poçt ünvanlarını ixrac edən yazılardan qorunmaq üçün heç bir iş görmür. Bu izləmə metoduna qarşı mübarizə tədbirlərindən biri uBlock Origin kimi brauzer uzantılarının quraşdırılması və ya istifadə olunan cihazın növündən asılı olmayaraq reklam blokajının quraşdırılmış funksiyası ilə brauzerlərə keçiddir. “İstifadəçilər nəzərə almalıdırlar ki, veb formalara daxil etdikləri şəxsi məlumat veb izləyicilər tərəfindən hətta forma təqdim edilmədən belə ələ keçirilə bilər”. Tədqiqatçılar brauzer satıcılarından, məxfilik aləti tərtibatçılarından və məlumatların qorunması agentliklərini daha çox araşdırma çağıraraq tədqiqat işini yekunlaşdırdılar.