Wanneer internetgebruikers ergens willen inloggen of een online formulier invullen kunnen gegevens als e-mailadressen en wachtwoorden naar adverteerders en andere derde partijen worden gestuurd nog voordat erop de knop verzenden of inloggen is geklikt, zo stellen onderzoekers van de Radboud Universiteit, de KU Leuven en de universiteit van Lausanne (pdf).
Voor het onderzoek werden de 100.000 populairste websites op internet onderzocht. E-mailadressen van Europese gebruikers werden bij ruim achttienhonderd websites naar tracking-, marketing- en analyticsdomeinen doorgestuurd nog voordat gebruikers toestemming hadden gegeven of op versturen hadden geklikt. Werden dezelfde websites vanaf een Amerikaans ip-adres bezocht, dan ging het om bijna drieduizend websites.
Verder bleek dat op meer dan vijftig websites third-party session replay scripts actief waren die het wachtwoord van gebruikers verzamelden. Deze scripts verzamelen de interactie van gebruikers met de website, waaronder toetsaanslagen en muisbewegingen. De onderzoekers rapporteerden dit. Vervolgens hebben twee third-party trackers, die samen actief zijn op vijf miljoen websites, updates uitgebracht om het probleem te verhelpen.
In een vervolgonderzoek zagen de onderzoekers dat Meta en TikTok gehashte persoonlijke informatie van webformulieren verzamelen, zelfs wanneer de gebruiker het formulier niet verstuurt en geen toestemming geeft. De onderzoekers waarschuwden beide bedrijven. Meta kwam snel met een reactie waarin het aangaf dat het probleem was doorgezet naar een engineeringteam. TikTok heeft volgens de onderzoekers nog geen reactie gegeven, maar werd ook later ingelicht.
"Gebaseerd op ons onderzoek moeten gebruikers ervan uitgaan dat de persoonlijke informatie die ze in webformulieren invullen door trackers kunnen worden verzameld, ook wanneer het formulier nooit wordt verstuurd. Gezien de omvang, inbreuk en onbedoelde neveneffecten, verdient het privacyprobleem dat we onderzochten meer aandacht van browserleveranciers, ontwikkelaars van privacytools en privacytoezichthouders", zo concluderen de onderzoekers.
Die hebben naar aanleiding van het onderzoek een browser-extensie ontwikkeld genaamd LeakInspector. Daarmee kunnen websites en eindgebruikers derde partijen controleren die zonder hun toestemming of medeweten persoonlijke informatie uit webformulieren verzamelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.