一群来自荷兰radboud大学、瑞士洛桑大学与比利时鲁汶大学的研究人员,在本周公布了一份研究报告,指出有些网站在用户输入表单但并未提交之前,定位器就得以取得相关内容,诸如电子邮件账号与密码。
该研究报告名为《leaky forms : a study of email and password exfiltration before form submission》,研究人员针对全球前10万个网站展开调查,从欧盟及美国执行爬虫程序,通过桌面与移动浏览器,并使用3种不同的cookie同意设置来调查用户同意与否,总计爬梳了全球前10万个网站的280万个网页。
相关的爬虫程序能够侦测网页上的电子邮件字段,还能填入电子邮件与密码,同时拦截访问这些字段的脚本程序。
调查显示,从欧盟执行的爬虫程序发现有1,844个网站在用户填入表单,但尚未提交之前,就让定位器搜集用户所填入的电子邮件,自美国执行的爬虫程序则发现了2,950个网站拥有同样的行为,其中有60%的网站是一样的。
此外,研究人员还发现有41个定位器的域名是未知的。
除了电子邮件之外,还有52个网站意外地让行为重播供应商(session replay provider)搜集了用户所填入的密码。
上述的电子邮件或密码的搜集行为,都是在用户填入资料,但尚未提交之前就发生的。
值得注意的是,不管是自欧洲或美国访问,在用户尚未提交电子邮件就外泄的前十大网站中,有不少为新闻网站,包括usa today、英国的independent、news week、business insider、time、fox news与the verge等,不过它们都已在接到通知后,于今年2月修补了该bug。
而搜集这些网站未提交表单的第三方定位器则来自于不少知名企业,包括adobe、oracle、salesforce、meta与tiktok等。
其中比较特别的是meta与tiktok,因为它们的定位器都具备自动高端比对(automatic advanced matching)功能,可自动自网络上的表单中搜集散列的用户标志符,以用来传送目标式广告,而且它们并无法识别“提交”键,而是在用户执行任何点击时,也许是其它按钮或连接,就会自动搜集用户已输入的散列个人资讯。
在发现此事之后,研究人员再针对这10万个网站执行了额外的爬虫程序,以检查哪些外泄是因为无关的按钮而造成,结果分别有8,438个(美国)及7,379个(欧盟)网站会将用户资料发送给meta,也分别有154个(美国)及147个(欧盟)网站会将用户资料发送给tiktok。
至于外泄密码的52个网站中,最知名的莫过于俄罗斯最大搜索引擎yandex,研究人员相信这类的搜集行为都是意外,而且已通知相关企业。