Bir haber bültenine kaydolduğunuzda, bir otel rezervasyonu yaptığınızda veya çevrimiçi alışveriş yaptığınızda, e-posta adresinizi üç kez yanlış yazmanızın veya fikrinizi değiştirerek sayfayı kapatıp çıkmanızın önemli olmadığını düşünebilirsiniz. Ancak görünene göre Gönder düğmesine basmasanız da arka planda bazı şeyler yaşanabiliyor. Web ile ilgili pek çok varsayımda olduğu gibi, yeni araştırmaya göre durum her zaman bu kadar basit değil: Şaşırtıcı sayıda web sitesi, siz dijital bir forma bilgilerinizi daha yazarken bile verilerinizin bir kısmını veya tamamını topluyor.
KU Leuven, Radboud Üniversitesi ve Lozan Üniversitesi'nden araştırmacılar, bir kullanıcının Avrupa Birliği'ndeyken bir siteyi ziyaret ettiği ve Amerika Birleşik Devletleri'nden bir siteyi ziyaret ettiği senaryolara bakarak en iyi 100.000 web sitesini taradı ve analiz etti. 1.844 web sitesinin bir AB kullanıcısının e-posta adresini rızası olmadan topladığını ve şaşırtıcı bir şekilde 2.950'nin bir ABD kullanıcısının e-postasını bir şekilde kaydettiği belirlendi. Görünüşe göre sitelerin çoğu, veri kaydetmeyi amaçlamıyor, ancak davranışa neden olan üçüncü taraf pazarlama ve analiz hizmetlerini içeriyor.
Mayıs 2021'de siteleri özellikle şifre sızıntıları için taradıktan sonra araştırmacılar, Rus teknoloji devi Yandex de dahil olmak üzere üçüncü tarafların, gönderilmeden önce tesadüfen şifre verilerini topladığı 52 web sitesi buldu. Grup bulgularını bu sitelere açıkladı ve o zamandan beri 52 vakanın tamamı çözüldü.
Radboud Üniversitesi'nin dijital güvenlik grubunda profesör ve araştırmacı olan, araştırmanın liderlerinden Güneş Acar “Bir formda Gönder düğmesi varsa, makul olarak bunun bir şey yapmasını, tıkladığınızda verilerinizi göndermesini beklersiniz” diyor ve ekliyor: "Bu sonuçlar bizim için çok şaşırtıcıydı. Göndermeden önce e-postalarınızın toplandığı birkaç yüz web sitesi bulacağımızı düşündük, ancak bu beklentilerimizi çok aştı."
KU Leuven'de gizlilik ve kimlik araştırmacısı ve çalışmanın ortak yazarlarından biri olan Asuman Şenol ise “Bazı durumlarda, bir sonraki alana tıkladığınızda, bir öncekine yazdığınız veri toplarlar, örneğin şifre alanına tıkladığınızda e-posta bilgisini toplarlar veya herhangi bir yere tıkladığınızda hemen tüm bilgileri toplarlar” diyor ve devam ediyor: "Binlerce web sitesi bulmayı beklemiyorduk ve ABD'de rakamlar gerçekten yüksek, bu da ilginç."
Grup, makaleyi tamamlamalarından bu yana, web üzerindeki kullanıcıları izlemek ve onlara reklam göstermek için web sitelerine yerleştirdiği görünmez pazarlama takipçileri Meta Pixel ve TikTok Pixel hakkında da bir keşifte bulundu. Her iki takipçi sistem de belgelerinde, müşterilerin bir kullanıcı bir form gönderdiğinde veri toplamayı tetikleyecek olan "otomatik gelişmiş eşleştirmeyi" açabileceklerini iddia etti. Ancak pratikte, araştırmacılar bu takip pixellerinin, gönderilmeden önce platformlar arasında web kullanıcılarını tanımlamak için kullanılan e-posta adreslerinin gizlenmiş bir sürümü olan karma e-posta adreslerini aldığını buldu. ABD kullanıcıları için 8.438 site, Facebook'un ana şirketi Meta'ya pixel aracılığıyla veri sızdırıyor olabilir ve AB kullanıcıları için 7.379 sitenin etkilendiği düşünülüyor. Grup, TikTok Pixel için ABD kullanıcıları için 154 ve AB kullanıcıları için 147 site buldu.
Araştırmacılar 25 Mart'ta Meta'ya bir hata raporu sundular ve şirket bu olayı hızlı bir şekilde inceleme altına aldı, ancak o zamandan beri bir güncelleme yapılmadı. Araştırmacılar, daha yakın zamanda yaptıkları keşifleri TikTok'a 21 Nisan'da sundu ancak henüz bir yanıt almadı.
Bulgular, bir formdaki verileri göndermeden önce silmenin, kendinizi tüm veri toplama çalışmalarından korumak için yeterli olmayabileceğini gösterdiğinden dolayı, araştırmacılar sahte form toplamalarını tespit etmek için LeakInspector adlı bir Firefox uzantısı oluşturdu. Ve bulgularının, yalnızca normal web kullanıcıları için değil, kendi sistemlerinin veya kullandıkları üçüncü şahıslardan herhangi birinin formlardan izinsiz veri toplayıp toplamadığını proaktif olarak kontrol edebilen web sitesi geliştiricileri ve yöneticileri için de konuyla ilgili farkındalık yaratmasını umduklarını söylüyorlar.