计算机科学家的一项系统研究发现，输入在线表格的电子邮件地址在提交之前通常会在未经用户同意的情况下交给网络跟踪器。研究人员声称，在许多情况下，未经同意和在提交表格之前收集的数据。

电子邮件地址（或从中派生的标识符）显然正被数据经纪人和广告商用于跨站点和跨平台识别计算机用户。

作为对在线表单数据如何用于跟踪的调查的一部分，一个由四名计算机科学家组成的团队通过分析前 100,000 个网站，在表单提交之前测量了电子邮件和密码收集的范围。

研究人员——来自荷兰鲁汶大学的Asuman Senol、Mathias Humbert（瑞士洛桑大学）以及Gunes Acar和Frederik Zuiderveen Borgesius（均来自比利时拉德布德大学）——比较了美国和欧盟两个有利位置的结果，以及移动和桌面浏览器之间。

该团队发现，在提交表单之前，在未经同意的情况下，在欧盟抓取的1,844个网站和美国抓取的2,950个网站上，电子邮件地址被泄露到跟踪域。

在大多数情况下，数据被提取到知名的跟踪器域，但研究人员还确定了流行的阻止列表中省略的41个跟踪器域。

出于广告服务目的的分析并不是唯一的问题。

研究人员还发现了第三方中继脚本从 52 个网站收集看似无意的密码。

基于该研究的研究论文 (PDF)将在即将召开的 Usenix '22 安全会议上发表。

网络用户通常将他们的电子邮件地址输入在线表格，原因包括注册服务或订阅时事通讯。

研究表明，输入此类表格的任何数据最终都可能落入数据经纪人手中——有时甚至在个人重新考虑注册某项内容但没有点击“发送”的情况下。

研究人员使用在线爬虫系统地检查用户在提交表单上输入的数据之前关闭会话时会发生什么。

尽管不是律师，但该项目的四位主要研究人员之一Gunes Acar告诉The Daily Swig，部分网站的行为可能违反了更严格的数据隐私法规，例如欧盟的《通用数据保护条例》（GDPR） ）。

“出于跟踪目的而进行的秘密电子邮件外泄可能会违反一些GDPR原则，例如透明度、目的限制和法律依据，但如果不查看具体细节，我们无法确定个别网站是否违反了GDPR（或其他法律），”Acar 解释说。

所接触的网站中几乎有一半对研究人员的GDPR相关请求作出了回应（请参阅此处的回应样本）。

“一些网站说他们不知道他们的访问者的电子邮件是由第三方收集的，他们解决了这个问题，”Acar 说。“这是最积极的结果。

“其他网站告诉我们他们如何使用通过这种行为收集的电子邮件，”他们补充说。

流行网站将用户电子邮件数据泄露到网络跟踪域
约翰莱登 2022 年 5 月 18 日 15:21 UTC
隐私 研究数据泄露
研究人员声称，在许多情况下，未经同意和在提交表格之前收集的数据

计算机科学家的一项研究显示，输入在线表格的电子邮件地址通常会在提交之前交给网络跟踪器

计算机科学家的一项系统研究发现，输入在线表格的电子邮件地址在提交之前通常会在未经用户同意的情况下交给网络跟踪器。

电子邮件地址（或从中派生的标识符）显然正被数据经纪人和广告商用于跨站点和跨平台识别计算机用户。

作为对在线表单数据如何用于跟踪的调查的一部分，一个由四名计算机科学家组成的团队通过分析前 100,000 个网站，在表单提交之前测量了电子邮件和密码收集的范围。

了解与隐私相关的最新安全新闻和分析

研究人员——来自荷兰鲁汶大学的 Asuman Senol、Mathias Humbert（瑞士洛桑大学）以及 Gunes Acar 和 Frederik Zuiderveen Borgesius（均来自比利时拉德布德大学）——比较了美国和欧盟两个有利位置的结果，以及移动和桌面浏览器之间。

跟踪域
该团队发现，在提交表单之前，在未经同意的情况下，在欧盟抓取的 1,844 个网站和美国抓取的 2,950 个网站上，电子邮件地址被泄露到跟踪域。

在大多数情况下，数据被提取到知名的跟踪器域，但研究人员还确定了流行的阻止列表中省略的 41 个跟踪器域。

出于广告服务目的的分析并不是唯一的问题。

研究人员还发现了第三方中继脚本从 52 个网站收集看似无意的密码。

基于该研究的研究论文 (PDF)将在即将召开的 Usenix '22 安全会议上发表。

INSIGHT Research 取得了长足的进步，但差距依然存在——安全研究员 Artur Janc 谈 XS-Leaks 的现状

网络用户通常将他们的电子邮件地址输入在线表格，原因包括注册服务或订阅时事通讯。

研究表明，输入此类表格的任何数据最终都可能落入数据经纪人手中——有时甚至在个人重新考虑注册某项内容但没有点击“发送”的情况下。

研究人员使用在线爬虫系统地检查用户在提交表单上输入的数据之前关闭会话时会发生什么。

GDPR 违规问题
尽管不是律师，但该项目的四位主要研究人员之一 Gunes Acar 告诉The Daily Swig，部分网站的行为可能违反了更严格的数据隐私法规，例如欧盟的《通用数据保护条例》（GDPR） ）。

“出于跟踪目的而进行的秘密电子邮件外泄可能会违反一些 GDPR 原则，例如透明度、目的限制和法律依据，但如果不查看具体细节，我们无法确定个别网站是否违反了 GDPR（或其他法律），”Acar 解释说。

所接触的网站中几乎有一半对研究人员的 GDPR 相关请求作出了回应（请参阅此处的回应样本）。

“一些网站说他们不知道他们的访问者的电子邮件是由第三方收集的，他们解决了这个问题，”Acar 说。“这是最积极的结果。

“其他网站告诉我们他们如何使用通过这种行为收集的电子邮件，”他们补充说。

对策
正如一篇以屏幕截图和视频为特色的博客文章所总结的那样，注重隐私的互联网用户可能会从这些爆料中退缩。

幸运的是，一些对策已经可用。

Acar解释说：“广告拦截器（例如uBlock Origin）和注重隐私的浏览器（Brave、DuckDuckGo）会阻止对跟踪器和广告域的请求，因此可能会阻止此类数据收集。仅阻止cookie不会提供任何保护。

“电子邮件中继服务可用于避免将相同的电子邮件地址提供给不同的在线和离线业务。Apple、DuckDuckGo和Mozilla 提供此类服务，可用于生成别名地址，”Acer总结道。

研究人员开发了一个概念验证浏览器插件LeakInspector，它会在用户的电子邮件和密码从表单中被删除时通知用户，此外还可以阻止对跟踪域的“泄漏”请求。

“不幸的是，该插件在Chrome Web Store上不可用，因为它依赖于谷歌在Manifest v3中不允许使用的API，”Acar 说。“我们正在努力将加载项发布到 Firefox 的加载项存储库中。”