研究称许多网站在用户提交前，就已泄露输入的内容

DoNews 5月18日消息（刘文轩）一群来自荷兰Radboud大学、瑞士洛桑大学与比利时鲁汶大学的研究人员，在本周公布了一份研究报告，指出有些网站在用户输入表单但并未提交的状态下，追踪器就能取得输入的内容，诸如电子邮件帐号与密码。

这一研究报告名为《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》，研究人员针对全球前10万个网站展开调查，从欧盟及美国执行爬虫程序，通过桌面与移动浏览器，并使用3种不同的Cookie同意设定来调查用户同意与否，总计爬梳了全球前10万个网站的280万个网页。

调查显示，从欧盟执行的爬虫程序发现有1844个网站在用户填入表单，但尚未提交之前，就让追踪器搜集用户所填入的电子邮件，自美国执行的爬虫程序则发现了2950个网站拥有同样的行为，当中有60%的网站是一样的。

此外，研究人员还发现有41个追踪器的域名是未知的。

除了电子邮件，还有52个网站意外地让行为重播供应商（Session Replay Provider）搜集了用户所填入的密码。上述的电子邮件或密码的搜集行为，都是在用户填入资料，但尚未提交的情况下就发生的。

搜集这些网站未提交表单的第三方追踪器来自于不少知名企业，包括Adobe、Oracle、Salesforce、Meta与TikTok等。

其中比较特别的是Meta与TikTok，因为它们的追踪器都具备自动进阶比对（Automatic Advanced Matching）功能，可自动从网络上的表单中搜集杂凑的用户标识符，以用来推送个性化广告，而且它们并无法辨识“提交”键，而是在用户执行任何点击时，也许是其它按键或链接，就会自动搜集用户已输入的信息。

值得注意的是，不管是自欧洲或美国造访，在用户尚未提交电子邮件就外泄的前十大网站中，有不少为新闻网站，包括USA Today、英国的Independent、News Week、Business Insider、Time、Fox News与The Verge等，不过它们都已在接到通知后，于今年2月修补了此一臭虫。

在发现此事之后，研究人员再针对这10万个网站执行了额外的爬虫程序，以检查哪些外泄是因为无关的按键而造成，结果分别有8438个（美国）及7379个（欧盟）网站会将用户资料传送给Meta，也分别有154个（美国）及147个（欧盟）网站会将用户资料传送给TikTok。

外泄密码的52个网站中，最知名的是俄罗斯最大搜寻引擎Yandex，研究人员相信这类的搜集行为都是意外，而且已通知相关企业。

本文源自iDoNews