Une nouvelle étude publiée par des universitaires de la KU Leuven, de l’Université Radboud et de l’Université de Lausanne a révélé que les adresses e-mail des utilisateurs sont exfiltrées vers des domaines de suivi, de marketing et d’analyse avant qu’elles ne soient soumises et sans consentement préalable.
L’étude impliqué en explorant 2,8 millions de pages des 100 meilleurs sites Web, et a constaté que jusqu’à 1 844 sites Web permettaient aux trackers de capturer les adresses e-mail avant la soumission du formulaire dans l’Union européenne, un nombre qui a grimpé à 2 950 lorsque le même ensemble de sites Web est visité depuis les États-Unis
« Les e-mails (ou leurs hachages) ont été envoyés à 174 domaines distincts (eTLD+1) dans le crawl américain, et 157 domaines distincts dans le crawl européen », les chercheurs mentionné. De plus, il a été déterminé que 52 sites Web recueillaient des mots de passe de la même manière, un problème qui a depuis été résolu à la suite d’une divulgation responsable.
LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta, TikTok, Salesforce, Listrak et Oracle sont parmi les meilleurs trackers tiers qui ont été repérés en enregistrant des adresses e-mail, tandis que Yandex, Mixpanel et LogRocket mènent la liste dans le mot de passe -catégorie saisissante.
Les adresses e-mail présentent un certain nombre d’avantages. Non seulement ils sont uniques, permettant à des tiers de suivre les utilisateurs sur tous les appareils, mais ils peuvent également être utilisés pour faire correspondre leurs activités en ligne et hors ligne, par exemple, dans des scénarios où ils effectuent un achat en magasin qui les oblige à partager leur adresse e-mail ou souscrire à une carte de fidélité.
L’idée derrière la collecte des adresses e-mail saisies dans les formulaires en ligne, même dans les cas où les utilisateurs ne soumettent aucun formulaire, a également été alimentée par les tentatives continues des fournisseurs de navigateurs d’abandonner la prise en charge des cookies tiers, obligeant les spécialistes du marketing à rechercher d’autres identifiants statiques. pour suivre les utilisateurs.
Ce n’est pas la première fois qu’une telle inquiétude est soulevée. En juin 2017, Gizmodo a découvert qu’un tiers appelé NaviStone recueillait des informations personnelles à partir de formulaires de calcul d’hypothèque avant leur soumission, et très peu de sites Web divulguaient explicitement cette pratique dans leur politique de confidentialité.
Avance rapide cinq ans plus tard, peu de choses ont changé, ont déclaré les chercheurs, avec des sites Web liés à la mode/beauté, aux achats en ligne et à l’actualité générale émergeant comme les principales catégories avec le plus « formes qui fuient. »
« Malgré le remplissage des champs de courrier électronique sur des centaines de sites Web classés comme pornographiques, nous n’avons pas une seule fuite de courrier électronique », montrent les résultats, notant comment cela correspond à études précédentes qui ont montré que les sites Web pour adultes ont relativement moins de trackers tiers par rapport aux sites généraux de popularité comparable.
De plus, une telle pratique peut enfreindre au moins trois règlements généraux différents sur la protection des données (RGPD) dans l’UE, en violation des principes de transparence, de limitation des finalités et de consentement de l’utilisateur.
« Les utilisateurs doivent supposer que les informations personnelles qu’ils saisissent dans les formulaires Web peuvent être collectées par des trackers, même si le formulaire n’est jamais soumis », ont conclu les chercheurs, appelant à une enquête plus approfondie des fournisseurs de navigateurs, des développeurs d’outils de confidentialité et des agences de protection des données.