你知道吗?有些网站在你点击“提交”按钮之前就已经开始收集数据了
作者:admin | 时间:2017-6-29 12:48:19 | 分类:黑客技术 隐藏侧边栏展开侧边栏
Gizmodo的研究人员发现,大量网站所用的NaviStone代码在用户填写表单数据的时候,即便用户没有点击“提交”按钮,但网站仍然能获取到这些数据。
“提交”按钮形同虚设
有些网站为了能够给用户提供最新的新闻资讯或者给用户提供定制化的在线服务,很可能会要求用户填写某种联系表单以及个人信息,不过此时你就要当心了。在填写这些表单之前你一定要考虑清楚,你是否真的想要让这个网站了解有关你的一切?如果你填写完之后又改变主意了,那不好意思,虽然你既没有点击表单的“提交”按钮,也没有同意网站的隐私服务条款,但网站此时很可能已经获取到你所填写的内容了。
据说,这家名叫NaviStone公司可以对网站的匿名访问者进行去匿名化,并获取到这些人的家庭住址。在NaviStone代码的帮助下,即使用户填写完表单之后没有点击“提交”按钮,网站仍然能够获取到用户填写的所有内容。
近期,研究人员正在对一家名叫Acurian Health的药物实验招募公司进行调查,调查的目的是为了弄清楚他们是如何对那些上网查找医疗信息的用户进行追踪的。研究人员发现,不仅Acurian公司的网站运行了NaviStone的代码,而且很多快速贷款服务公司、继续教育中心、女装电商网站、以及很多零售商网站都运行了这种用户追踪代码。当用户填写完一份在线表单之后,这些网站便会利用JavaScript代码将用户填写的内容立刻上传到后台服务器。这样一来,即使用户马上后悔并关闭了页面,但网站仍然能够获取到这些信息。这也就意味着,浏览器的表单自动填写功能将给你的隐私带来巨大的安全隐患。
NaviStone是一家总部位于美国俄亥俄州的初创企业,该公司的主要业务是识别那些有服务意向的用户以及获取网站匿名访问者的邮政编码和家庭住址。该公司表示,当用户匿名访问了网站之后,他们可以在一到两天内给这位匿名用户寄去一张贺卡。该公司主要利用匿名用户的网站访问流量来与邮政编码和住址进行匹配,目前的匹配准确度已经达到了60%-70%。
这种行为是否违反相关规定?
华盛顿大学的法学教授Ryan Calo认为,Acurian Health虽然给用户提供了一个“发送”或“提交”按钮,但无论用户是否点击了这些按钮,用户的信息都将会被提交上去。Acurian Health的这种做法不仅明显违背了用户的真实意愿,而且还违反了联邦法律有关反欺诈行为的相关条款以及加州和马萨诸塞州的反欺诈贸易行为法。
根据Builtwith.com(专门统计各类网站所使用的技术)提供的统计信息,目前至少有一百多家网站正在使用NaviStone的代码来对用户进行非法跟踪。为此我们专门访问了其中的一部分网站,结果表明,很多网站只会收集访问者的邮箱地址,但某些网站还会收集访问者的家庭住址和其他的输入信息。注:如果你想自己动手测试的话,请参考本文最后一章《测试方法》。
在我们所分析的所有网站中有一家名叫Gardeners.com的网站,这家网站则在自己的隐私服务条款中明确写明了他们所要做的事情,条款写到:“即使你取消操作或没有完成表单的填写,你在本网站所输入的信息仍然会被收集。”除了这一句之外,其他的条款内容与一些常见的网站政策和服务条款几乎没有多大区别,不过该网站并没有对这种信息采集技术的工作机制进行专门的描述和介绍。我们也向多家采用了这种技术的网站发送了媒体调查函,以便弄清楚他们为何要通过这样的方法来收集用户信息,以及他们准备如何使用这些信息,不过我们目前只收到了两家网站的回复。
网站调查情况
Road Scholar是一家专门从事教育旅行的非营利性组织,该组织同样使用了NaviStone的代码来收集网站访问用户的邮箱地址。该组织表示,他们之所以在网站上使用NaviStone工具,主要是为了进一步吸引那些已经对Road Scholar感兴趣的用户,这些用户已经在他们的邮件列表中了,所以他们也许只需要多发送几封邮件这些用户就会加入到Road Scholar之中。家居用品公司Wayfair的一名官方发言人则表示,他们在自家服装销售网站JossandMain.com上也使用了NaviStone工具来收集匿名用户的邮箱地址,因为他们需要尽可能地拓宽市场营销渠道。
不过NaviStone可不想向外界透露他们获取这些网站匿名访问者身份的方法,NaviStone的首席运营官Allen Abbott表示:“这项技术属于公司的核心机密,并且已经申请了专利证书。我们不会利用用户的邮箱地址来与用户的邮政编码或个人可识别信息进行关联,公司的主要业务是帮助他们的客户发送个性化的邮件,而并非通过电子邮件来传播广告。”
研究人员为了测试代码的运行机制,他们在那些采用了NaviStone工具的网站上进行浏览并假装完成购物操作(没有完成支付)。测试的网站为硬件网站Rockler.com、礼品网站CollectionsEtc.com和服装网站BostonProper.com,研究人员在商品订单中填写了电子邮件地址,但是最终没有提交订单,商品仍然躺在购物车里,不过这些网站仍然会给研究人员发送电子邮件以告知其购物车中商品的最新信息。虽然用户的邮箱信息会被发送给NaviStone,但NaviStone则表示他们并不对这些邮件负责。
后话
现在很多用户都喜欢使用浏览器的匿名访问(或隐私访问)功能来进行网页浏览,但商家似乎也在想方设法对这类用户进行去匿名化。用户可能会认为一切尽在自己的掌握之中,但事实却并不尽如人意,而这个“提交”按钮也早已变成了一种自我安慰的摆设。
虽然NaviStone表示他们不会再通过这种方法来收集用户的邮件地址,但他们仍然会换成另一种系统操作模式来使用这项技术。如果你不信任你所要访问的这个网站,你可以使用类似UBlockOrigin这样的安全工具来防止恶意服务通过浏览器来爬取你的私人信息。
番外篇:测试方法
Web浏览器所提供的开发者工具(Developer Tools)允许我们查看网站所发送和接收的内容,因此我们可以利用这个功能来测试NaviStone的这种技术。我们使用Chrome来进行演示,不过Firefox和Safari也同样适用,只不过界面有些许不同而已。
1、在Chrome菜单中,选择“查看”(View)->“开发者”(Developer)->“开发者工具”(Developer Tools)。
2、选择Network标签可以查看网站的所有进站和出站流量。比如说我们选择murdoog.com(NaviStone旗下网站)来进行测试,你可以通过这个标签来查看浏览器与murdoog.com之间的通讯数据,然后输入“murdoog”来过滤掉无用信息。
3、在研究人员发布了针对NaviStone的调查报告之后,NaviStone已经停止了大部分网站上这种“预提交”形式的信息采集操作,但目前Quicken Loans mortgagecalculator(贷款计算器)的联系页面仍然在使用这项技术,你可以访问【这个页面】来进行测试。
4、在页面上选择“Refinance”或“Purchase”,然后提交一些基本的个人财务信息。如果你具备贷款资格,你将会被定向到一个联系页面,联系表单会要求你填写一些基本信息,例如姓名、手机号码和邮箱地址,测试过程中千万别填写真实信息,因为这些信息会被网站全部收集到。当你填写完一项信息并按下Tab键切换输入框(或用鼠标点击其他输入框)时,你将会看到数据被发送至了murdoog.com。
5、信息发送出去之后点击“Header”,然后往下拉到“Query String Parameters”,这里所显示的就是浏览器发送到后台服务器的数据,其中标签d中的数据就是我们所需要的了。数据格式大致如下:
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
6、这段信息使用的是Base64编码格式,复制d标签中的数据,然后把它粘贴到解码器【在线解码器】中:
7、此时你就可以看到NaviStone所收集到的数据明文了。
* 参考来源:gizmodo, FB小编Alpha_h4ck编译