E -posta adresinizi bir web sitesi formuna yazmazsınız, ancak asla gönderilmezsiniz. Saatler sonra, gelen kutunuzda bir pazarlama e -postası görünür. Yeni araştırmaya göre, bu bir tesadüf değil.
UC Davis, Maastricht Üniversitesi ve diğer kurumlardan bir araştırmacı ekibi, birçok web sitesinin kullanıcılar türü olarak, bazen bir form gönderilmeden önce tuş vuruşlarını topladığını bulmuştur. Çalışma, üçüncü taraf senaryoların bu bilgileri California yasası uyarınca teleklemenin yasal tanımına uyacak şekilde nasıl yakaladığını ve paylaştığını araştırıyor.
Eski yasaları yeni uygulamalara eşlemek
Telefon konuşmalarının yetkisiz müdahalesini önlemek için onlarca yıl önce televizyon yasaları yazılmıştır. Mahkemeler zamanla bu yasaları e -posta ve belirli web izleme araçları gibi yeni teknolojileri kapsayacak şekilde genişletmiştir. Araştırmacılar bugünün web uygulamalarının da bu kurallara girip girmediğini görmek için yola çıktılar.
Web sitelerinin yazma, tıklama veya kaydırma gibi kullanıcı eylemlerini algılamak için kullandığı JavaScript kodu parçaları olan etkinlik dinleyicilerine odaklandılar. Etkinlik dinleyicileri yaygındır ve genellikle zararsızdır. Bununla birlikte, bir kişinin gerçek zamanlı olarak neyi yazdıklarını da yakalayabilir ve bu verileri üçüncü bir tarafa gönderebilir.
Çalışmanın ortak yazarı olan Shaoor Munir, yardım net güvenliğine, neyin sayıldığını numaralandırırken ekibinin neden dikkatli bir yaklaşım yaptığını söyledi. “Makalemizde, kastan bir telekleme tanımını benimsiyoruz. California’nın CIPA § 631 uyarınca, telekleme bir kullanıcının iletişiminin çağdaş müdahalesini içerebilir. Web siteleri rutin olarak, insanların göndermeden önce neyi yazdıklarını yakalayan müşteri tarafı olay dinleyicilerini ekler. Ölçümlerimizde, bu tür çekimleri, sitelerin yaklaşık yüzde 40’ı üzerinde gözlemledik” dedi.
Yasa modern web var olmadan önce yazıldığından, mahkemeler bazen ekstra kanıt gerektirmiştir. Bunu yansıtmak için, araştırmacılar, verilerin yalnızca yerel olarak değil, uzak bir sunucuya gönderildiğini onaylayabilirlerse, bir davayı televizyon olarak saydılar. Bu daha katı yaklaşım bildirilen sayıları düşürdü, ancak doğruluğu sağladı.
Web sitesi tuş vuruşu izleme yaygındır
Araştırmacılar özel bir web tarayıcısı kurdular ve internetteki 15.000 web sitesini test ettiler. Sitelerin yüzde 91’inin olay dinleyicilerini bir şekilde kullandığını keşfettiler. Çoğu, sayfa yüklerini veya tıklamaları izleme gibi temel işlevler için kullanılırken, yazmayı izlemek için önemli bir kısım kullanılmıştır.
Toplamda, web sitelerinin yüzde 38,5’inin tuş vuruşlarını kesebilecek üçüncü taraf komut dosyaları yüklendi. Sitelerin yüzde 3,18’inde, yakalanan tuş vuruşları da uzak bir sunucuya gönderildi. Araştırmacılar, bu davranışın, CIPA altındaki teleklemenin teknik tanımıyla eşleştiğini belirtiyor.
Yakalanan veriler, e -posta adreslerini, telefon numaralarını ve formlara yazılan ücretsiz metinleri içeriyordu. Bazı durumlarda, bir formda girilen e -posta adresleri, kullanıcı hiçbir zaman formu göndermese bile, istenmeyen pazarlama e -postaları için daha sonra kullanıldı.
Munir, e -posta adreslerinin neden özellikle hassas olduğunu açıkladı: “E -posta adresleri istikrarlı ve son derece spesifik tanımlayıcılar olarak hizmet ediyor. Kullanıcılar bir form göndermeden önce yakalamak, siteler arasında bağlantı ve ADTech veya veri brokerleri tarafından zenginleştirme sağlar” dedi.
Siteler kullanıcıları tıbbi veya finansal bilgiler yazmaya teşvik ettiğinde daha da büyük riskler olduğunu da sözlerine ekledi. Munir, “Kullanıcıları hassas tıbbi veya finansal bilgilere girmeye yönlendiren web sitelerinde, bu veri toplama uygulaması muazzam gizlilik riskleri oluşturmaktadır” dedi.
En sık 20, etkinlik türlerini ve etkinlik dinleyicisinin yüklendiği web sitelerinin yüzdesini dinledi. (Kaynak: halka açık çalışma)
Bu neden yasal olarak önemlidir?
CIPA uyarınca, bir konuşmanın her tarafı, bir müdahale gerçekleşmeden önce rıza göstermelidir. Bu, sadece bir partiden rıza gerektiren federal televizyon yasalarından daha katıdır.
Çalışma, belirli bir şirketin eylemlerini yasadışı ilan etmiyor. Bunun yerine, bazı izleme uygulamalarının mahkemelerin yasayı nasıl yorumlamasına bağlı olarak telekleme olarak nitelendirebileceğine dair kanıtlar sunmaktadır. Bu önemlidir, çünkü CIPA bireylerin özel davalar getirmesine izin verir. Bu, icra’nın sadece hükümet eylemine dayanmadığı anlamına gelir.
Munir, düzenleyicilerin ve milletvekillerinin netlik getirmek için adımlar atmaları gerektiğini söyledi. “§ 631: § 631 altındaki üçüncü taraf statüsünü netleştirin üçüncü taraflık kulaklıkları ve yardımcılarını veya abettorları hedefler. Gömülü analitik ve oturum-oyun satıcıları, kullanıcı katılımlarına açıkça kabul edilmedikçe üçüncü taraf olarak ele alınmalıdır. Site tarafından yerleşik olmak bir tarafa ayrılmamalıdır.”
Ayrıca devlet korumalarına daha iyi uyum sağlamak için federal düzeyde değişiklikler çağrısında bulundu. Munir, “Ülke çapında kullanıcıları korumak için ECPA’nın CIPA’nın iki partili rızasını yansıtmak için rızası gereksinimini güncellemeye ihtiyaç var” dedi.
Kullanıcılar ve kuruluşlar için gizlilik riskleri
Gizlilik perspektifinden bakıldığında, çalışma tarayıcılarından ayrıldıktan sonra kontrol kullanıcılarının verileri üzerinde ne kadar az olduğunu vurgulamaktadır. Bir form göndermeden bile, hassas bilgiler genellikle açıklanmadan birden fazla tarafla toplanabilir ve paylaşılabilir.
Munir, bu sessiz veri toplamanın neden bu kadar ilgili olduğunu anlattı. “Bir kullanıcının özel bilgileri bir web sitesindeki bir metin kutusuna yazdığı ve daha sonra göndermeden sildiği bir senaryoyu düşünün, çünkü bu bilgileri birinci taraf web sitesinde bile paylaşmaktan rahatsız olabilirler. Bu bilgileri hiç göndermese bile, hala yakalandığını ve üçüncü tarafa iletildiğini bilmiyorlar” dedi.
“Bu, kullanıcıların gizlilik beklentilerine meydan okuyor: birincisi, yalnızca birinci taraf kullanıcıların sağladığı bilgiler için özeldir ve ikincisi, yalnızca kullanıcılar tarafından gönderilen bilgilerin web sitesinde farklı taraflar tarafından okunabileceği.”
Kuruluşlar için riskler yasal uyumun ötesine uzanmaktadır. Müşteriler bir web sitesinin sessizce tuş vuruşlarını yakaladığını öğrenirse, güven hızla aşınabilir. Araştırmacılar, şirketlerin üçüncü taraf komut dosyalarının nasıl kullanıldığını gözden geçirmelerini ve kullanıcıların verilerinin ne zaman ve neden toplandığını anladıklarından emin olmalarını önermektedir.
Bir yan not olarak, yardım net güvenliğinde gizliliğiniz bir slogan değildir. Biz böyle çalışıyoruz. Seni izlemiyoruz. Hesaplara veya girişlere ihtiyacımız yok. Web sitemiz herkese açıktır ve ayrıldığınızda sizi takip etmiyoruz.