Araştırmacılar tarafından yapılan bir araştırmaya göre, en iyi 100.000 web sitesinden bazılarının, siz Gönder düğmesine basmadan önce bile çevrimiçi formlarından veri topladığı tespit edildi. Bazı durumlarda, en çok ziyaret edilen bu web sitelerinin çoğu, kullanıcı izni olmadan ziyaretçilerinin şifre verilerini bile topluyordu. Kullanıcılarının e-posta adresleri de dahil olmak üzere kişisel verilerini önceden izinleri olmadan toplayan çok sayıda web sitesi, reklam ve pazarlama amacıyla entegre edilmiş üçüncü taraf izleyiciler nedeniyle bu davranışı sergiliyor gibi görünmektedir.
Leuven, Radboud Üniversitesi ve Lozan Üniversitesi’nden araştırmacılar tarafından yürütülen çalışma, temelli Avrupa Birliği ve ABD olmak üzere iki farklı konumdan en iyi 100.000 web sitesinin taranmasını ve analizini sağlayan bir sistemde. Analiz edilen toplam web sitesi sayısı içinde, 1.844 web sitesinin, AB bölgesinden gelen ziyaretçilerin e-posta adresleri de dahil olmak üzere, rızaları olmadan veri topladığını gösteriyor. Araştırmaya göre ABD’den bir ziyaretçi gelmesi durumunda bu sayı 2.950 web sitesine çıkıyor.
Çoğu durumda, izleyiciler, analiz edilen en iyi web sitelerinden kullanıcı verilerini alan Meta ve TikTok dahil şirketlerdi. Ancak araştırmacılar, kullanıcılar Gönder düğmesine basmadan önce en iyi web sitelerinden kullanıcı verilerini yakalamaya dahil olduğu tespit edilen önceden bilinmeyen 41 izleyici alanını da fark ettiler.
Araştırmayı yürütürken, araştırmacılar, web sitelerinin gönderilmeden önce kullanıcıların e-posta adreslerini toplamak için meşru nedenleri olabileceği durumları dikkate almaktan özellikle kaçındılar. Örneğin, bazı durumlarda web siteleri, veritabanında zaten bir e-posta veya kullanıcı adı olup olmadığını kontrol eder.
Bununla birlikte, araştırmacılar, çevrimiçi izleyicilerin, kullanıcı onay vermeden önce e-posta adreslerini yakaladığı birçok popüler web sitesini keşfetti.
ABD’de, e-posta adreslerinin izleyicilere sızdırıldığı tespit edilen ilk on web sitesi USAToday, Business Insider, Fox News, Time ve Trello’yu içerirken, AB’de bu listede Independent, Shopify, Newsweek ve Marriott yer alıyor.
Araştırmacılar ayrıca, Rusya’nın Yandex’i de dahil olmak üzere üçüncü tarafların, gönderilmeden önce tesadüfen şifre topladığı 52 web sitesi buldu. Yandex, araştırmacı grubu tarafından ulaşıldığında şifre toplanmasını önlemek için bir düzeltme yaptı.
Araştırmacılar, “Bulgularımıza dayanarak, kullanıcılar Web formlarına girdikleri kişisel bilgilerin, form hiç gönderilmese bile izleyiciler tarafından toplanabileceğini varsaymalıdır.” dedim çalışmalarını detaylandıran 18 sayfalık bir makalede. “Ölçeği, müdahaleciliği ve istenmeyen yan etkileri göz önüne alındığında, araştırdığımız gizlilik sorunu tarayıcı satıcılarının, gizlilik aracı geliştiricilerinin ve veri koruma kurumlarının daha fazla ilgisini hak ediyor.”
Araştırmacılar, e-posta adreslerinin düzenli olarak yakalanmasının yanı sıra, bazı durumlarda Meta ve TikTok izleyicilerinin Web formlarından karma kişisel bilgiler topladığını fark ettiler. Bunun nedeni, göndermeden önce e-posta adresleri de dahil olmak üzere karma kullanıcı verilerini yakalamaktan sorumlu olduğu tespit edilen “gelişmiş eşleştirme” özelliğidir.
Araştırmacılar, “Sızıntıların, Facebook’un alakasız düğmelere yapılan tıklamaları ‘düğme tıklandı’ olayları olarak yorumlayan komut dosyasından kaynaklandığına inanıyoruz.” Dedi.
Gadgets 360, araştırmaya açıklık getirmek için hem Meta hem de TikTok’a ulaştı ve şirketler yanıt verdiğinde bu makaleyi güncelleyecek.
Apple ve diğer teknoloji devleri, kullanıcıların çevrimiçi takibini azaltmaya yardımcı olmak için üçüncü taraf çerezleri ve izleyicileri engellemeye başladı. Ancak, çevrimiçi ziyaretçileri e-posta adresleri aracılığıyla izleme fikri, devam eden kısıtlamalara rağmen pazarlamacıların etkili bir çözüm bulmasına yardımcı olabilir.
Araştırmacılar ayrıca, e-posta adreslerinin “ideal bir tanımlayıcı” olarak çalıştığını ve platformlar arasında ve bu tür diğer parametrelerle karşılaştırıldığında daha uzun vadede izlemeye izin verebildikleri için çevrimiçi izleyiciler için boşluğu doldurmaya yardımcı oldukları ortak yazarlık makalelerinde de belirttiler.
Araştırmadan elde edilen bulgular, Ağustos ayındaki Usenix güvenlik konferansında ayrıntılı olarak sunulacak.
