Les sociétés de publicité Net récupèrent les adresses e-mail avant que vous ne le sachiez • Le registre

Selon des chercheurs en sécurité, les sociétés de suivi, de marketing et d’analyse ont exfiltré les adresses e-mail des internautes des formulaires Web avant leur soumission et sans le consentement de l’utilisateur.

On dit que certaines de ces entreprises ont également pris par inadvertance les mots de passe de ces formulaires.

Dans un document de recherche qui doit paraître à la conférence sur la sécurité Usenix ’22 plus tard cette année, les auteurs Asuman Senol (imec-COSIC, KU Leuven), Gunes Acar (Université Radboud), Mathias Humbert (Université de Lausanne) et Frederik Zuiderveen Borgesius, (Radboud University) décrivent comment ils ont mesuré le traitement des données dans les formulaires Web sur les 100 000 meilleurs sites, classés par le site de recherche Tranco.

Boffins a créé son propre logiciel pour mesurer la collecte de données d’e-mails et de mots de passe à partir de formulaires Web – des boîtes de réception Web structurées dans lesquelles les visiteurs du site Web peuvent saisir des données et les envoyer à une application locale ou distante .

Fournir des informations via un formulaire Web en appuyant sur le bouton de soumission indique généralement que l’utilisateur a consenti à fournir ces informations dans un but précis. Mais les pages Web, parce qu’elles exécutent du code JavaScript, peuvent être programmées pour répondre aux événements avant qu’un utilisateur n’appuie sur le bouton d’envoi d’un formulaire.

Et de nombreuses entreprises impliquées dans la collecte de données et la publicité semblent croire qu’elles ont le droit d’obtenir les informations que les visiteurs du site entrent dans des formulaires scriptés avant d’appuyer sur le bouton d’envoi.

“Notre analyse montre que les adresses e-mail des utilisateurs sont filtrées pour les domaines de suivi, de marketing et d’analyse avant la soumission du formulaire et sans consentement sur 1 844 sites dans le suivi de l’UE et 2 950 sites dans le suivi des États-Unis”, déclarent les chercheurs dans leur article, notant que les adresses peuvent être non codées, codées, compressées ou hachées selon le fournisseur concerné.

La plupart des adresses e-mail capturées ont été envoyées à des domaines de suivi connus, bien que les boffins disent avoir identifié 41 domaines de suivi qui ne figurent sur aucune des listes de blocage populaires.

“De plus, nous avons trouvé une collecte accidentelle de mots de passe sur 52 sites par des scripts de relecture de session tiers”, expliquent les chercheurs.

Les scripts de relecture sont conçus pour enregistrer les frappes au clavier, les mouvements de la souris, le comportement de défilement, d’autres formes d’interaction et le contenu des pages Web afin d’envoyer ces données aux sociétés de marketing pour analyse. Dans un contexte contradictoire, on les appellerait des enregistreurs de frappe ou des logiciels malveillants ; mais dans le contexte de la publicité, ce ne sont en quelque sorte que des scripts de relecture de session.

Gunes Acar, l’un des co-auteurs du rapport, a également co-écrit un projet de recherche similaire en 2017 qui a analysé la collecte de données par les sociétés de relecture de session Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale et SessionCam.

Certes, peu de choses ont changé depuis lors, sauf peut-être que les adresses e-mail sont devenues plus souhaitables en tant qu’identifiants uniques maintenant que les navigateurs axés sur la confidentialité comme Brave, Firefox et Safari prennent plus de mesures pour bloquer les cookies et les scripts de suivi.

Les adresses e-mail, notent les chercheurs, remplacent les cookies car elles sont uniques, persistantes et peuvent être utilisées pour suivre les personnes sur des applications, des plates-formes et même des interactions hors ligne pouvant être liées à une adresse e-mail, telles que les transactions par carte de fidélité.

Les catégories de sites Web présentant le plus de fuites de formulaires sont les suivantes : mode/beauté (11,1 %, UE ; 19 % États-Unis) ; Achats en ligne (9,4 % UE ; 15,1 % États-Unis) ; et General News (6,6 % de l’UE ; 10,2 % des États-Unis).

Les sites classés comme pornographiques avaient la meilleure confidentialité lorsqu’il s’agissait de collecter des données à partir de formulaires clandestins.

“Un résultat surprenant a été le suivant : malgré le remplissage des champs de courrier électronique sur des centaines de sites Web classés comme pornographiques, nous n’avons pas une seule fuite de courrier électronique”, déclarent les chercheurs, notant que les études précédentes sur les sites Web destinés aux adultes ont relativement moins de tiers. traqueurs. que des sites d’intérêt général tout aussi populaires.

Ces réglementations ennuyeuses

Les auteurs du rapport affirment que les sites Web de l’UE qui pratiquent l’exfiltration d’e-mails peuvent enfreindre au moins trois exigences du RGPD : la transparence, la limitation des finalités et le consentement préalable. Les entreprises qui enfreignent ces règles peuvent être condamnées à une amende pouvant aller jusqu’à 20 millions de dollars américains ou 4% du chiffre d’affaires annuel en vertu de l’article 83(5).

Les États-Unis n’ont pas de loi fédérale sur la confidentialité des données, bien qu’il soit concevable que l’un des rares États américains ayant des règles de confidentialité applicables puisse prendre des mesures contre la collecte de formulaires de pré-soumission. Mais étant donné le manque de mordant de la réglementation américaine sur la confidentialité au cours de la dernière décennie, ne vous attendez pas à grand-chose.

Les auteurs disent avoir tenté de contacter 58 tiers et 28 tiers avec des demandes GDPR. Ils rapportent avoir reçu 30 réponses des premières parties, qui allaient de la surprise et de la remédiation à des justifications d’un type ou d’un autre.

“fivethirtyeight.com (via Walt Disney DPO), trello.com (Atlassian), Lever.co, Branch.io et cision.com faisaient partie des sites qui ont déclaré ne pas être au courant de la collecte d’e-mails avant l’envoi du formulaire sur leurs sites Web et a supprimé le comportement », lit-on dans le rapport.

Marriott, pour sa part, a déclaré que les informations collectées par la société d’analyse numérique Glassbox aident au service client, au support technique et à la prévention de la fraude.

Les tiers Taboola, Zoominfo et ActiveProspect ont défendu leurs pratiques de collecte de données.

Facebook, également connu sous le nom de Meta, fait partie des tiers impliqués dans cette affaire. Les chercheurs affirment que les adresses e-mail ou leurs hachages ont été téléchargés sur facebook.com à partir de 21 sites Web différents à travers l’UE.

“Dans 17 d’entre eux, la fonctionnalité Automatic Advanced Matching du Facebook Pixel était responsable de l’envoi du SHA-256 de l’adresse e-mail dans un SubscribedButtonClick événement, bien qu’il n’ait cliqué sur aucun bouton de soumission », lit-on dans le rapport.

Advanced Matching – appelé récemment pour collecter des données sur les prêts étudiants – est conçu pour collecter des données clients hachées telles que des adresses e-mail, des numéros de téléphone et des noms à partir des formulaires de paiement, de connexion et d’inscription. Les chercheurs supposent que sur ces sites, le script Facebook traite les clics sur les boutons de non-soumission comme un événement de clic pour soumettre.

Facebook n’a pas répondu à une demande de commentaire.

Le rapport conclut que les fournisseurs de navigateurs, les régulateurs et les fabricants d’outils de confidentialité doivent résoudre ce problème, car il ne disparaîtra pas. “Sur la base de nos conclusions, les utilisateurs doivent supposer que les informations personnelles saisies dans les formulaires Web peuvent être collectées par des robots d’exploration – même si le formulaire n’est jamais soumis”, conclut le rapport. ®

Leave a Comment