Attenzione alla compilazione di form online che consentono di inviare i propri dati: il pericolo è di vedere carpite email, e a volte anche password, prima che vengano inviati i dati attraverso il web form.
I ricercatori della KU Leuven, della Radboud University e dell'Università di Losanna hanno scansionato ed analizzato 100.000 siti Web scoprendo che 1.844 siti Web hanno raccolto l'indirizzo e-mail di un utente senza il suo consenso. A carpire i dati degli utenti prima che vengano inviati tramite form sarebbero società di società di tracciamento, marketing e analisi.
In alcuni casi dei form raccoglievano dati sulle password prima dell'invio. Queste le dichiarazioni dei ricercatori che hanno condotto l'analisi:
"Se c'è un pulsante Invia su un modulo, la ragionevole aspettativa è che faccia qualcosa; che invierà i dati quando fai clic su di esso. Siamo rimasti molto sorpresi da questi risultati. Pensavamo che forse avremmo trovato alcune centinaia di siti Web in cui l'email è stata raccolta prima dell'invio, ma questo ha superato di gran lunga le nostre aspettative".
e ancora:
"Le nostre analisi dimostrano che gli indirizzi e-mail degli utenti vengono esfiltrati verso domini di tracciamento, marketing e analisi prima dell'invio del modulo e senza dare il consenso su 1.844 siti web nel crawl dell'UE e 2.950 siti web nel crawl degli Stati Uniti"
I ricercatori presenteranno i loro risultati alla conferenza sulla sicurezza di Usenix di agosto.
Indagine siti Web
L’ispirazione dell’indagine arriva dai resoconti dei media, su terze parti che raccolgono i dati dei moduli indipendentemente dallo stato di invio.
Lo studio sottolinea che, in sostanza, il comportamento è simile ai cosiddetti keylogger; programmi dannosi capaci di registrare tutto ciò che un utente digita. Ma su un sito mainstream, tra i primi 1.000 al mondo, gli utenti probabilmente non si aspetteranno mai di avere le loro informazioni registrate.
La ricerca dimostra come la pratica sia ben lontana da questa illusoria aspettativa; i ricercatori hanno registrato, ed analizzato, alcune variazioni del comportamento. Alcuni siti hanno registrato i dati battitura per battitura. Molti altri poi hanno acquisito gli invii completi da un campo quando gli utenti hanno fatto clic su quello successivo.