أفادت دراسة جديدة بأن الآلاف من المواقع الإلكترونية تقوم بجمع أي نصوص يكتبها المستخدم بداخلها، من تعليقات وكلمات مرور وأسماء المستخدم وعناوين البريد الإلكتروني وغيرها، عبر "زر مخادع" أو حفظ البيانات بشكل تلقائي.
أوضحت الدراسة، التي أجراها مجموعة من الباحثين بجامعتي لوزان السويسرية ورادبوند الهولندية وشملت حوالي 100 ألف موقع إلكتروني، أن أغلب تلك المواقع لا تجمع ما يكتبه المستخدمون بشكل مقصود، ولكنها تعتمد على أدوات تسويقية وتحليلية من شركات الطرف الثالث، التي تجمع البيانات تلقائياً.
واكتشف الباحثون أن 1844 موقعاً إلكترونياً داخل الاتحاد الأوروبي تجمع عناوين البريد الإلكتروني للمستخدمين قبل تسجيلهم الدخول، ومن دون موافقتهم، بينما يرتفع العدد إلى 2950 موقعاً في الولايات المتحدة.
ودرس الباحثون تسريبات كلمات المرور خلال مايو 2021، واكتشفوا أن 52 موقعاً يستخدمون خدمات شركات الطرف الثالث، ويجمعون كلمات مرور المستخدمين بمجرد كتابتهم لها داخل مربع تسجيل الدخول، حتى قبل أن يضغطوا على زر الدخول. وبمجرد تواصل الباحثين مع القائمين على تلك المواقع، تم تحديث أدواتهم البرمجية المستخدمة بشكل يحل المشكلة.
"زر مخادع"
وأوضح فريق البحث أن الدافع الرئيسي وراء الدراسة، كان التقارير الإعلامية المتكررة حول شركات الطرف الثالث التي تسعى عبر أدواتها البرمجية إلى جمع بيانات المستخدمين دون موافقتهم، ما يجعل هذا الزر، الذي يتوقعون أنه يحدد مشاركة بياناتهم من عدمها، زراً مخادعاً.
وأشارت الدراسة إلى أن هذا الأسلوب يسمى بـ"تسجيل النقرات" (Keylogging)، وهو أسلوب تستخدمه البرمجيات الخبيثة والمخترقون، لتسجيل أي نقرة يقوم بها المستخدم على لوحة مفاتيح جهازه، سواء الموبايل أو الحاسوب الشخصي، وذلك لسرقة معلومات حساسة مثل كلمات المرور وبيانات البطاقات الائتمانية.
بينما يعتبر استخدامه من جانب شركات الطرف الثالث "مفاجئاً وصادماً"، وفق تعبير الباحثين.
وأشارت الدراسة إلى أن عمليات جمع البيانات التلقائي داخل المواقع محل الدراسة اختلفت في أسلوبها، فبعض المواقع كانت تجمع البيانات التي يكتبها المستخدم في حقول النصوص، بمجرد انتقاله من حقل إلى آخر، فمثلاً يتم جمع عنوان البريد الإلكتروني، بمجرد انتقال المستخدم للكتابة في حقل كلمة المرور.
والبعض الآخر من مواقع الويب محل الدراسة تقوم بجمع محتوى كافة حقول النصوص، بمجرد قيام المستخدم بالضغط على أي مكان داخل صفحة الويب.
وجاء أيضاً خلال الدراسة، أن أدوات تسويق "ميتا" و"تيك توك"، وهي "Meta Pixel" و"TikTok Pixel" على الترتيب، تقوم بجمع "إيميلات" المستخدمين التي يكتبونها داخل أي موقع يستخدم تلك الأدوات، حتى وإن تراجع المستخدم عن تسجيل الدخول في آخر لحظة، وذلك عبر ربط كل بريد إلكتروني بكود مميز، يسهل تتبع ما يقوم به صاحب كل بريد إلكتروني على شبكة الإنترنت، حتى وإن لم يقم بتسجيل الدخول.
وبحسب الدراسة، فإن حوالي 8438 موقعاً تسمح لأداة "ميتا" بجمع بيانات المستخدمين في الولايات المتحدة، بينما ينخفض العدد إلى 7379 موقعاً على مستوى أوروبا. أما مع أداة "تيك توك"، فإن 154 موقعاً تستخدم بجمع بيانات زوارهم بالطريقة المذكورة، داخل الولايات المتحدة، مقابل 147 موقعاً في أوروبا.
وأشار القائمون على الدراسة إلى أن هناك اتجاهاً متزايداً من جانب الشركات التقنية نحو استبدال ملفات الارتباط الخاصة بتصفح الإنترنت "Cookies"، بالعديد من الحلول الجديدة لتتبع حركة المستخدمين وأنشطتهم على الإنترنت، كما سيتجه المعلنون نحو الاعتماد على البيانات المميزة للمستخدم، والتي لا يمكن تغييرها مثل أرقام الهواتف وعناوين البريد الإلكتروني، لأنها تعد معياراً رئيسياً لاستخدام مختلف الخدمات والتطبيقات ومواقع الإنترنت.
ولحماية خصوصية بيانات المستخدمين، أطلق الباحثون إضافة جديدة لمتصفح الإنترنت "فايرفوكس" تسمى "LeakInspector"، تسمح للمستخدم برصد أي محاولات لجمع بيانات المستخدم دون رضاه داخل مواقع الإنترنت المختلفة.
{{ article.visit_count }}
أوضحت الدراسة، التي أجراها مجموعة من الباحثين بجامعتي لوزان السويسرية ورادبوند الهولندية وشملت حوالي 100 ألف موقع إلكتروني، أن أغلب تلك المواقع لا تجمع ما يكتبه المستخدمون بشكل مقصود، ولكنها تعتمد على أدوات تسويقية وتحليلية من شركات الطرف الثالث، التي تجمع البيانات تلقائياً.
واكتشف الباحثون أن 1844 موقعاً إلكترونياً داخل الاتحاد الأوروبي تجمع عناوين البريد الإلكتروني للمستخدمين قبل تسجيلهم الدخول، ومن دون موافقتهم، بينما يرتفع العدد إلى 2950 موقعاً في الولايات المتحدة.
ودرس الباحثون تسريبات كلمات المرور خلال مايو 2021، واكتشفوا أن 52 موقعاً يستخدمون خدمات شركات الطرف الثالث، ويجمعون كلمات مرور المستخدمين بمجرد كتابتهم لها داخل مربع تسجيل الدخول، حتى قبل أن يضغطوا على زر الدخول. وبمجرد تواصل الباحثين مع القائمين على تلك المواقع، تم تحديث أدواتهم البرمجية المستخدمة بشكل يحل المشكلة.
"زر مخادع"
وأوضح فريق البحث أن الدافع الرئيسي وراء الدراسة، كان التقارير الإعلامية المتكررة حول شركات الطرف الثالث التي تسعى عبر أدواتها البرمجية إلى جمع بيانات المستخدمين دون موافقتهم، ما يجعل هذا الزر، الذي يتوقعون أنه يحدد مشاركة بياناتهم من عدمها، زراً مخادعاً.
وأشارت الدراسة إلى أن هذا الأسلوب يسمى بـ"تسجيل النقرات" (Keylogging)، وهو أسلوب تستخدمه البرمجيات الخبيثة والمخترقون، لتسجيل أي نقرة يقوم بها المستخدم على لوحة مفاتيح جهازه، سواء الموبايل أو الحاسوب الشخصي، وذلك لسرقة معلومات حساسة مثل كلمات المرور وبيانات البطاقات الائتمانية.
بينما يعتبر استخدامه من جانب شركات الطرف الثالث "مفاجئاً وصادماً"، وفق تعبير الباحثين.
وأشارت الدراسة إلى أن عمليات جمع البيانات التلقائي داخل المواقع محل الدراسة اختلفت في أسلوبها، فبعض المواقع كانت تجمع البيانات التي يكتبها المستخدم في حقول النصوص، بمجرد انتقاله من حقل إلى آخر، فمثلاً يتم جمع عنوان البريد الإلكتروني، بمجرد انتقال المستخدم للكتابة في حقل كلمة المرور.
والبعض الآخر من مواقع الويب محل الدراسة تقوم بجمع محتوى كافة حقول النصوص، بمجرد قيام المستخدم بالضغط على أي مكان داخل صفحة الويب.
وجاء أيضاً خلال الدراسة، أن أدوات تسويق "ميتا" و"تيك توك"، وهي "Meta Pixel" و"TikTok Pixel" على الترتيب، تقوم بجمع "إيميلات" المستخدمين التي يكتبونها داخل أي موقع يستخدم تلك الأدوات، حتى وإن تراجع المستخدم عن تسجيل الدخول في آخر لحظة، وذلك عبر ربط كل بريد إلكتروني بكود مميز، يسهل تتبع ما يقوم به صاحب كل بريد إلكتروني على شبكة الإنترنت، حتى وإن لم يقم بتسجيل الدخول.
وبحسب الدراسة، فإن حوالي 8438 موقعاً تسمح لأداة "ميتا" بجمع بيانات المستخدمين في الولايات المتحدة، بينما ينخفض العدد إلى 7379 موقعاً على مستوى أوروبا. أما مع أداة "تيك توك"، فإن 154 موقعاً تستخدم بجمع بيانات زوارهم بالطريقة المذكورة، داخل الولايات المتحدة، مقابل 147 موقعاً في أوروبا.
وأشار القائمون على الدراسة إلى أن هناك اتجاهاً متزايداً من جانب الشركات التقنية نحو استبدال ملفات الارتباط الخاصة بتصفح الإنترنت "Cookies"، بالعديد من الحلول الجديدة لتتبع حركة المستخدمين وأنشطتهم على الإنترنت، كما سيتجه المعلنون نحو الاعتماد على البيانات المميزة للمستخدم، والتي لا يمكن تغييرها مثل أرقام الهواتف وعناوين البريد الإلكتروني، لأنها تعد معياراً رئيسياً لاستخدام مختلف الخدمات والتطبيقات ومواقع الإنترنت.
ولحماية خصوصية بيانات المستخدمين، أطلق الباحثون إضافة جديدة لمتصفح الإنترنت "فايرفوكس" تسمى "LeakInspector"، تسمح للمستخدم برصد أي محاولات لجمع بيانات المستخدم دون رضاه داخل مواقع الإنترنت المختلفة.