جمع‌آوری ایمیل کاربران از سایت‌ها و فرم‌های آنلاین

ظاهرا آدرس ایمیل‌ها یا شناسه‌های گفته‌شده از آنها توسط کاسبان داده‌ها و تبلیغ‌کنندگان برای شناسایی کاربران رایانه استفاده می‌شود. به عنوان بخشی از تحقیق در مورد نحوه جمع‌آوری اطلاعات توسط ردیاب‌های وب، تیمی متشکل از چهار محقق رایانه، ۱۰۰هزار وب‌سایت برتر را در وب تجزیه و تحلیل کرده و میزان جمع‌آوری ایمیل و رمز عبور را قبل از ارسال اطلاعات کاربران در فرم‌های تکمیل‌شده اندازه‌گیری کردند.  محققان دو نقطه برتر در آمریکا و اروپا را بین مرورگرهای رایانه‌های رومیزی و موبایلی مقایسه کردند. تیم تحقیقاتی متوجه شد که آدرس‌های ایمیل قبل از ارسال فرم و بدون رضایت در ۱۸۴۴ مورد در وب‌کراولرهای اتحادیه اروپا و ۲۹۵۰ مورد در وب‌کراولرهای ایالات‌متحده به دامنه‌های ردیابی ارسال شده‌اند. در اکثر موارد، داده‌ها از دامنه‌های ردیاب معروف استخراج شد، اما محققان ۴۱ دامنه ردیاب را که از فهرست‌های لیست سیاه حذف شده بودند، شناسایی کردند.  جمع‌آوری اطلاعات برای اهداف تبلیغاتی تنها نگرانی نیست. محققان جمع‌آوری رمز عبور به‌ظاهر سهوی را از ۵۲ وب‌سایت توسط اسکریپت‌های رله شخص سوم شناسایی کردند. بر اساس این مطالعه قرار است یک مقاله تحقیقاتی در کنفرانس امنیتی Usenix ۲۲ ارائه شود.

کاربران معمولا آدرس ایمیل خود را به دلایل مختلفی از جمله ثبت‌نام در یک خدمات یا اشتراک در یک وب‌سایت در فرم‌های آنلاین وارد می‌کنند. این تحقیق نشان می‌دهد هر داده‌ای که در چنین فرم‌هایی وارد می‌شود ممکن است به دست جمع‌کنندگان داده از وب بیفتد، حتی در مواردی که کاربر اطلاعات ثبت‌نام را پر می‌کند و ارسال را نمی‌زند. محققان از یک خزنده آنلاین استفاده کردند تا به‌طور سیستماتیک بررسی کنند که وقتی کاربران ادامه روند خود را قبل از ارسال اطلاعات واردشده در فرم‌ها قطع می‌کنند، چه اتفاقی می‌افتد.

نگرانی‌های مربوط به نقض GDPR

گونس آکار یکی از چهار محقق اصلی این پروژه، به دیلی سوئینگ گفت: رفتار برخی از وب‌سایت‌ها ممکن است قوانین حفظ حریم خصوصی داده‌ها مانند مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) را نقض کند. ردیابی مخفیانه ایمیل‌ها ممکن است برخی از اصول GDPR مانند شفافیت، محدودیت هدف و مبنای قانونی را نقض کند، اما نمی‌توانیم به‌طور قطع بگوییم که آیا وب‌سایت‌ها GDPR (یا سایر قوانین) را نقض می‌کنند یا خیر. تقریبا نیمی از وب‌سایت‌هایی که با آنها تماس گرفته شد به درخواست‌های مرتبط با GDPR محققان پاسخ دادند، برخی از وب‌سایت‌ها گفتند که نمی‌دانستند ایمیل‌های بازدیدکنندگان‌شان توسط اشخاص ثالث جمع‌آوری شده است و آنها این مشکل را برطرف می‌کنند. دیگر وب‌سایت‌ها به ما اطلاع دادند که چگونه از ایمیل‌های جمع‌آوری‌شده از این طریق استفاده می‌کنند.

احتمال اینکه کاربران آگاه به حریم خصوصی از افشاگری این موضوع خودداری کنند وجود دارد. خوشبختانه برخی از اقدامات متقابل در حال حاضر در دسترس است. ابزارهای مسدودسازی تبلیغات و مرورگرهای متمرکز بر حفظ حریم خصوصی، درخواست‌های ردیابی اطلاعات را مسدود می‌کنند و از این رو ممکن است از جمع‌آوری داده‌ها جلوگیری شود. ولی تنها مسدود کردن کوکی‌ها هیچ‌گونه محافظتی ایجاد نمی‌کند. همچنین محققان یک پلاگین به نام LeakInspector ایجاد کرده‌اند که اگر ایمیل و رمز عبور آنها از فرم‌ها برداشته می‌شود، به کاربران اطلاع می‌دهد و بلافاصله روبات‌های ردیاب وب را مسدود می‌کند.