网络跟踪器甚至在用户点击提交之前就截获了在线表单
库鲁汶大学、拉德布大学和洛桑大学的学者发表的一项新研究表明,用户的电子邮件地址在提交之前会过滤到跟踪、营销和分析领域,而且事先未经同意。
这项研究涉及从排名前100位的网站中抓取280万个网页,并发现在欧盟,多达1844个网站允许追踪者在提交表格之前捕获电子邮件地址,当来自美国的同一组网站被访问时,这个数字跃升到2950个。
研究人员说:“在美国爬网中,电子邮件(或其哈希)被发送到174个不同的域(eTLD+1),在欧盟爬网中发送到157个不同的域。”此外,52个网站被确定以同样的方式收集密码,这一问题在负责任的披露之后得到了解决。
LiveRamp、Taboola、Adobe、Verizon、Yandex、Meta Platform、TikTok、Salesforce、Listrak和Oracle占据了电子邮件地址传输到的一些顶级第三方跟踪域,Yandex、Mixpanel和LogRocket在密码获取类别中居前。
研究人员说:“当用户输入他们的地址时,某些第三方会逐字发送电子邮件地址。”“此行为似乎是由于会话重播脚本收集了用户与页面的交互,包括按键和鼠标移动。”
时尚、美容、网上购物和一般新闻成为热门类别;
时尚、美容、网上购物、一般新闻、软件、硬件和商业成为热门类别
电子邮件地址有许多优点。它们不仅独特,使第三方能够跨设备跟踪用户,还可以用于匹配其在线和离线活动,例如,在他们进行店内购买时,需要共享电子邮件地址或注册忠诚卡。
即使在用户不提交任何表单的情况下,收集在线表单中输入的电子邮件地址的想法也受到浏览器供应商不断尝试放弃对第三方cookie的支持的推动,迫使营销人员寻找其他静态标识符来跟踪用户。
这并不是第一次提出这样的担忧。2017年6月,Gizmodo发现一家名为NaviStone的第三方在提交抵押计算器表格之前从中收集个人信息,很少有网站在其隐私政策中明确披露这种做法。
研究人员说,快进五年后,与时尚/美容相关的网站、网上购物和一般新闻成为“泄密形式”最多的类别,变化不大
调查结果显示:“尽管在数百个被归类为色情的网站上填写了电子邮件字段,但我们没有发现一个电子邮件泄漏。”调查结果表明,这与之前的研究结果一致,之前的研究表明,与受欢迎程度相当的一般网站相比,成人网站的第三方追踪者相对较少。
此外,这种做法可能违反了欧盟至少三种不同的通用数据保护条例(GDPR)要求,违反了透明度、目的限制和用户同意的原则。
近年来,浏览器制造商(谷歌Chrome除外)引入了新机制来限制跨站点cookie,但苹果Safari和Mozilla Firefox都被发现无法防止出于跟踪目的导出电子邮件地址的脚本。
针对这种跟踪方法的一种对策是安装浏览器扩展,如uBlock Origin,或切换到具有内置广告阻止功能的浏览器,而不管所使用的设备类型如何。
研究人员得出结论,呼吁浏览器供应商、隐私工具开发商和数据保护机构进行进一步调查,“用户应该假设他们输入到web表单中的个人信息可能会被追踪者收集,即使表单从未提交。”