כשאתם נרשמים לניוזלטר, מזמינים חדר במלון או מקישים פרטים לפניה לחברה, אתם בטח משערים שאם הקשתם משהו לא נכון או שיניתם את דעתכם זה לא משנה, כל זמן שלא לחצתם על "שלח", נכון? ובכן, לא.
לפי מחקר חדש, מספר עצום של אתרים רושמים ואוספים כל מה שאתם מקלידים בטפסים שלהם, גם אם לא לחצתם על כפתור השליחה בטופס. חוקרים מאוניברסיטאות לובן ולוזאן, בדקו את 100,000 האתרים הנגלשים ביותר, ודימו מבקרים מהאיחוד האירופי וארצות הברית.
1,844 אתרים אספו את כתובת המייל בלי רשות של המבקרים האירופים המדומים, וקרוב ל-3,000 אתרים אספו את כתובת המייל של הגולשים מארצות הברית. ניכר שרוב האתרים לא עשו זאת בכוונת זדון - אלא כתוצאת לוואי של כלי שיווק ומדידה מצד שלישי.
"אם יש כפתור 'שלח' על טופס, הציפיה הסבירה היא שהוא עושה משהו, והוא ימסור את המידע ברגע שתקליק עליו", אומר גונס אייקר, חוקר בקבוצת האבטחה הדיגיטלית באוניברסיטת רדבאוד, וממובילי המחקר. "הופתענו מאוד מהתוצאות. חשבנו שנמצא כמה מאות של אתרים שבהם כתובת המייל שלכם נאספת עוד לפני ששלחתם את הטופס, אבל זה עלה על הציפיות שלנו".
החוקרים, שיציגו את הממצאים שלהם בכנס Usenix באוגוסט, סיפרו ל-WIRED שההשראה לחקור את הנושא, הגיעה מדיווחים על "טפסים נזילים", על כך שגופי צד שלישי אוספים מידע מטפסים, ללא קשר לסטטוס המסירה. ביסודה, הפעולה הזו דומה לרושמי הקשות, Keyloggers, שהם לרוב תוכנות זדוניות שמקליטות את כל מה שאדם מקליד. זוהי התנהגות שלא הייתם מצפים למצוא באתרים הגדולים ביותר ברשת.
באופן דומה, הקבוצה איתרה טרקרים שמקורם בפיקסלי מעקב בלתי נראים של מטא (פייסבוק) וטיק טוק, שבהם מפרסמים יכלו להפעיל תכונה שתאסוף כתובות אימייל ממוסכות מטופס. למשתמשים אמריקאים, 8,438 אתרים חשודים בהדלפת המידע למטא/פייסבוק, ו-7,379 אתרים שאספו כתובות של גולשים אירופים, לטיק טוק המספרים נמוכים בהרבה: 154 אתרים למשתמשים מארצות הברית, ו-147 לגולשים מאירופה. החוקרים דיווחו זאת לפייסבוק, החברה הציבה מהנדס לטפל בנושא, אולם לא שמעו מהם מאז, באופן דומה לא קיבלו החוקרים תגובה מטיק טוק. WIRED פנו לחברות לתגובה, אך לא קיבלו אותה.
אייקר מציין כי "כתובת מייל היא מזהה שימושי למעקב, כי היא גלובלית, ייחודית וקבועה. אי אפשר להיפטר ממנה כמו קובצי עוגיה. זהו מזהה מאוד עוצמתי". עוד מציין אייקר, שבשעה שחברות מתרחקות משימוש בעוגיות, הן עוברות להשתמש במזהים קבועים יותר - כמו מספרי טלפון וכתובות מייל.