Honderden websites verzamelen data van webforms voordat gebruikers die versturen

17/05
2022
Honderden websites verzamelen informatie die gebruikers in webformulieren typen en sturen die door naar trackingbedrijven, ook voordat gebruikers het formulier daadwerkelijk versturen. Dat meldde Tweakers onlangs op gezag van onderzoek uit Leuven getiteld “Leaky forms”. Het alvast verwerven van gegevens die je invult maar nog niet opstuurt zal voor veel mensen verrassend zijn, en is natuurlijk zeer problematisch onder de AVG – juist omdat het niet is wat je verwacht. En nee, dat veel van die sites een hash opsturen van het emailadres is volstrekt irrelevant.

Tweakers legt uit hoe men te werk ging:
[De onderzoekers] bouwden vervolgens een crawler die was gebaseerd op DuckDuckGo’s Tracker Radar Collector. Die zoekt naar velden om e-mailadressen en wachtwoorden in webformulieren in te vullen. In dat geval onderschept de crawler ook het netwerkverkeer van die sites om te kijken welke informatie er op welk moment wordt verzonden.
Men stelde vast dat bij 1844 van de onderzochte 100.000 websites er dus al ingevulde informatie werd verstuurd nog voordat de gebruiker daadwerkelijk op de onderdrukking-knop drukte. Meestal ging het dan om inlog- of nieuwsbriefinschrijfformulieren, en vaak werd dan niet het rauwe mailadres maar een hash daarvan verstuurd.

Technisch niet heel moeilijk, maar waarom doet men dit? Het was even denken, maar een legitieme reden is dat je bij een website-inschrijving bijvoorbeeld kunt zeggen dat een gekozen gebruikersnaam al bezet is. Dat gebeurt ook wel voor mailadressen: “Er is al een account bij dit adres” zie je dan tijdens het invullen. Maar dat vind ik al iets dubieuzer: zo kun je achterhalen of iemand wiens mailadres jij weet, gebruiker of klant is van die site. En dat kan een privacyschending zijn.

De onderzoekers lieten echter zien dat veel van deze informatie door derde partijen wordt uitgelezen, vaak zo te zien invoegtoepassingen die zichzelf nestelen in je formulieren. Dit zie je vaker, mensen installeren een analyticstool voor het een of ander en die blijkt veel dieper informatie op te vragen dan een eerste blik op de handleiding doet vermoeden. Dit verklaart ook waarom bijvoorbeeld de Vogelbescherming direct riep dat zij “geen persoonsgegevens deelt” met derden, zij het met de mysterieuze toevoeging dat “[zij] deze gegevens inzetten om de website gebruikersvriendelijker te maken.” Dan heb ik liever “onze nitwit van een webdesigner had HotJar met alle opties aan geïnstalleerd, dit staat nu uit, sorry” als reactie, maar goed.

Ik heb even snel wat van de genoemde sites bekeken, maar geen van hen noemt dit in de privacyverklaring of heeft op het formulier een “wij/derden lezen mee” verklaring. En omdat het hier gaat om dingen waar de gemiddelde consument door verrast wordt, moet dat echt wel van de AVG.

Arnoud

Het bericht Honderden websites verzamelen data van webforms voordat gebruikers die versturen verscheen eerst op Ius Mentis.

Datum: dinsdag 17 mei 2022, 08:19
Bron: Iusmentis Blog
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry