DoNews 5月18日消息(劉文軒)一群來(lái)自荷蘭Radboud大學(xué)、瑞士洛桑大學(xué)與比利時(shí)魯汶大學(xué)的研究人員，在本周公布了一份研究報(bào)告，指出有些網(wǎng)站在用戶輸入表單但并未提交的狀態(tài)下，追蹤器就能取得輸入的內(nèi)容，諸如電子郵件帳號(hào)與密碼。

　　這一研究報(bào)告名為《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》，研究人員針對(duì)全球前10萬(wàn)個(gè)網(wǎng)站展開調(diào)查，從歐盟及美國(guó)執(zhí)行爬蟲程序，通過桌面與移動(dòng)瀏覽器，并使用3種不同的Cookie同意設(shè)定來(lái)調(diào)查用戶同意與否，總計(jì)爬梳了全球前10萬(wàn)個(gè)網(wǎng)站的280萬(wàn)個(gè)網(wǎng)頁(yè)。

　　調(diào)查顯示，從歐盟執(zhí)行的爬蟲程序發(fā)現(xiàn)有1844個(gè)網(wǎng)站在用戶填入表單，但尚未提交之前，就讓追蹤器搜集用戶所填入的電子郵件，自美國(guó)執(zhí)行的爬蟲程序則發(fā)現(xiàn)了2950個(gè)網(wǎng)站擁有同樣的行為，當(dāng)中有60%的網(wǎng)站是一樣的。

　　此外，研究人員還發(fā)現(xiàn)有41個(gè)追蹤器的域名是未知的。

　　除了電子郵件，還有52個(gè)網(wǎng)站意外地讓行為重播供應(yīng)商(Session Replay Provider)搜集了用戶所填入的密碼。上述的電子郵件或密碼的搜集行為，都是在用戶填入資料，但尚未提交的情況下就發(fā)生的。

　　搜集這些網(wǎng)站未提交表單的第三方追蹤器來(lái)自于不少知名企業(yè)，包括Adobe、Oracle、Salesforce、Meta與TikTok等。

　　其中比較特別的是Meta與TikTok，因?yàn)樗鼈兊淖粉櫰鞫季邆渥詣?dòng)進(jìn)階比對(duì)(Automatic Advanced Matching)功能，可自動(dòng)從網(wǎng)絡(luò)上的表單中搜集雜湊的用戶標(biāo)識(shí)符，以用來(lái)推送個(gè)性化廣告，而且它們并無(wú)法辨識(shí)“提交”鍵，而是在用戶執(zhí)行任何點(diǎn)擊時(shí)，也許是其它按鍵或鏈接，就會(huì)自動(dòng)搜集用戶已輸入的信息。

　　值得注意的是，不管是自歐洲或美國(guó)造訪，在用戶尚未提交電子郵件就外泄的前十大網(wǎng)站中，有不少為新聞網(wǎng)站，包括USA Today、英國(guó)的Independent、News Week、Business Insider、Time、Fox News與The Verge等，不過它們都已在接到通知后，于今年2月修補(bǔ)了此一臭蟲。

　　在發(fā)現(xiàn)此事之后，研究人員再針對(duì)這10萬(wàn)個(gè)網(wǎng)站執(zhí)行了額外的爬蟲程序，以檢查哪些外泄是因?yàn)闊o(wú)關(guān)的按鍵而造成，結(jié)果分別有8438個(gè)(美國(guó))及7379個(gè)(歐盟)網(wǎng)站會(huì)將用戶資料傳送給Meta，也分別有154個(gè)(美國(guó))及147個(gè)(歐盟)網(wǎng)站會(huì)將用戶資料傳送給TikTok。

　　外泄密碼的52個(gè)網(wǎng)站中，最知名的是俄羅斯最大搜尋引擎Yandex，研究人員相信這類的搜集行為都是意外，而且已通知相關(guān)企業(yè)。