Honderden websites verzamelen informatie die gebruikers in webformulieren typen en sturen die door naar trackingbedrijven, ook voordat gebruikers het formulier daadwerkelijk versturen. Dat gebeurt bij ongeveer twee procent van de populaire websites, zeggen onderzoekers.
Onderzoekers van de Nederlandse Radboud Universiteit, de Belgische KU Leuven en de Zwitserse Université de Lausanne keken naar webformulieren op de honderdduizend meestbezochte websites. Ze bouwden vervolgens een crawler die was gebaseerd op DuckDuckGo’s Tracker Radar Collector. Die zoekt naar velden om e-mailadressen en wachtwoorden in webformulieren in te vullen. In dat geval onderschept de crawler ook het netwerkverkeer van die sites om te kijken welke informatie er op welk moment wordt verzonden. De onderzoekers concluderen daarbij dat bij 1844 van de 100.000 websites al informatie wordt verzonden naar derde partijen vóórdat de gebruiker het webformulier verstuurt. Dat geldt voor websites die vanuit Europa worden bezocht. Bij bezoekers uit de Verenigde Staten komt dat nog vaker voor, 2950 keer.
De onderzoekers vonden die praktijk bij formulieren die worden gebruikt om in te loggen of te registreren, of als gebruikers zich voor een nieuwsbrief wilden inschrijven. In 1844 gevallen vonden de onderzoekers scripts die een MD5-, SHA-1- of SHA-256-hash van het e-mailadres van de gebruiker naar een domein van een derde partij stuurden. In een derde van die gevallen werd dat script aangeroepen vanaf het externe domein en dus niet door het domein waar de gebruiker zich op dat moment bevindt.
De trackers komen volgens de onderzoekers het meest voor op shoppingsites, nieuwssites en sites met mode als hoofdonderwerp. In de meeste gevallen hebben de thirdpartytrackers blokkades voor wachtwoordexfiltratie ingebouwd, maar niet altijd. De onderzoekers vonden 52 websites waar ook het wachtwoord werd meegestuurd naar de derde partijen. Dat hebben de websites wel verbeterd nadat de onderzoekers contact met hen opnamen.
Top ten websites where email addresses are leaked to tracker domains
| EU | |||
|---|---|---|---|
| Rank | Website | Third-party | Hash/encoding/compression |
| 154 | *usatoday.com | taboola.com | Hash (SHA-256) |
| 242 | *trello.com | bizible.com | Encoded (URL) |
| 243 | *independent.co.uk | taboola.com | Hash (SHA-256) |
| 300 | shopify.com | bizible.com | Encoded (URL) |
| 328 | marriott.com | glassboxdigital.io | Encoded (BASE-64) |
| 567 | *newsweek.com | rlcdn.com | Hash (MD5, SHA-1, SHA-256) |
| 705 | *prezi.com | taboola.com | Hash (SHA-256) |
| 754 | *branch.io | bizible.com | Encoded (URL) |
| 1,153 | prothomalo.com | facebook.com | Hash (SHA-256) |
| 1,311 | codecademy.com | fullstory.com | Unencoded |
| 1,543 | *azcentral.com | taboola.com | Hash (SHA-256) |
| US | |||
|---|---|---|---|
| Rank | Website | Third-party | Hash/encoding/compression |
| 95 | issuu.com | taboola.com | Hash (SHA-256) |
| 128 | businessinsider.com | taboola.com | Hash (SHA-256) |
| 154 | usatoday.com | taboola.com | Hash (SHA-256) |
| 191 | time.com | bouncex.net | Compression (LZW) |
| 196 | udemy.com | awin1.com zenaps.com | Hash (SHA-256 with salt) Hash (SHA-256 with salt) |
| 217 | healthline.com | rlcdn.com | Hash (MD5, SHA-1, SHA-256) |
| 234 | foxnews.com | rlcdn.com | Hash (MD5, SHA-1, SHA-256) |
| 242 | trello.com | bizible.com | Encoded (URL) |
| 278 | theverge.com | rlcdn.com | Hash (MD5, SHA-1, SHA-256) |
| 288 | webmd.com | rlcdn.com | Hash (MD5, SHA-1, SHA-256) |
*: Not reproducible anymore as of February 2022.
In de meeste gevallen werden de verzoeken ingediend vanuit bekende trackerdomeinen die volgens de onderzoekers zijn opgenomen in veel blocklists. Maar in 41 gevallen gebeurde dat niet: het domein was daar niet bekend. De onderzoekers concluderen ook dat het verzamelen van de adressen waarschijnlijk niet mag onder de AVG. De verzameling gebeurt namelijk zonder toestemming en heeft verder geen grondslag waaronder het bijvoorbeeld nodig is dat de gegevens worden verzameld. De onderzoekers zien het verschil in websitebezoek tussen de EU en de VS ook als teken dat adverteerders zich aan de AVG houden.
bron: Tweakers.net
