Milhares de sites enviam dados pessoais de formulários que nem foram submetidos

0
555

TheDigitalArtist / Pixabay

Estas plataformas reencaminham endereços de email e até palavras-passe a terceiros, mesmo que o utilizador não registe os dados no final. Meta e TikTok não escapam a esta prática.

Numa altura em que se discute a inconstitucionalidade da lei dos metadados em Portugal, uma investigação recente indica que, na União Europeia, há 1844 websites a transmitir e a receber endereços de email. Nos Estados Unidos, estes números sobem para 2950.

Os dados são enviados, sobretudo, para serviços de marketing analítico.

O estudo, realizado pela Universidade Católica de Leuven e pelas Universidades de Radboud e de Lausanne, pretendia analisar formulários e outras ferramentas de recolha de dados nos cem mil websites mais visitados nas duas regiões.

Uma das principais conclusões aponta que os dados são recolhidos no imediato, isto é, à medida que a pessoa escreve – uma prática denominada de keylogging.

Estes instrumentos não necessitam que o formulário preenchido seja submetido, nem esperam que o utilizador consinta o tratamento dos dados pessoais, como os habituais cookies.

Dos 10 websites que mais endereços de email vazaram, constam nomes como USAToday, Trello, Marriott, Facebook e Prezi.

Apesar das áreas de atividade distintas, a informação terá, na sua maioria, a mesma finalidade: marketing analítico. Deste modo, Taboola e Bizible, plataformas de publicidade, e o Facebook encabeçam os domínios de chegada.

Além dos endereços de email, os autores revelam que 52 plataformas também terão reencaminhado palavras-passe a entidades terceiras. Neste caso, a Yandex, motor de busca russo, destaca-se como principal destinatário.

Em declarações à Wired, Güneş Acar admite ter ficado “surpreendido”.

O professor e investigador do departamento de segurança digital da Universidade de Radboud diz que a equipa esperava encontrar “umas poucas centenas de websites onde o email fosse recolhido antes da submissão” do formulário. No entanto, os resultados excederam as expectativas, “de longe”.

Asuman Senol, investigador em privacidade e identidade da Universidade Católica de Leuven, explica como este processo funcionará.

“Em alguns casos, quando se clica no próximo campo, eles recolhem o anterior, isto é, quando se clica no campo da palavra-passe, eles registam o endereço de email, ou basta clicar em qualquer lado e eles recolhem toda a informação imediatamente”.

Onde há dados, há Meta

Numa fase posterior, o estudo olhou com maior atenção para a ferramenta de correspondência avançada na web da Meta (ex-Facebook) e do TikTok. Este mecanismo recolhe informação pessoal, com alegado consentimento, de modo a proporcionar uma experiência de publicidade personalizada.

Contudo, à semelhança dos resultados anteriores, ambos os domínios registam informação que não é submetida pelo utilizador. Além disso, tanto Meta como TikTok recorrem a hiperligações e botões alheios que ativam igual ação de envio de dados, sem conhecimento explícito da pessoa.

Os problemas da Meta com a proteção de dados não são novidade e este estudo torna isso ainda mais claro: só na União Europeia, mais de sete mil websites poderão vazar informação à Meta a partir de botões ou links.

Numa escala mais reduzida, são 147 as plataformas acedidas no continente europeu que enviarão dados sensíveis ao TikTok.

A propósito destas falhas de cibersegurança, os autores notificaram algumas das empresas visadas no estudo. No entanto, as respostas foram mistas.

A Yandex, ao tomar conhecimento da situação, prontificou-se a resolver o problema. Já a Meta rapidamente alocou profissionais para esta ocorrência, mas não revelou mais pormenores sobre o assunto. O TikTok ainda não se pronunciou até ao momento.

  Pedro Valente Lima, ZAP //

Seja um visitante de carteirinha, assine nossa newsletter e receba conteúdos exclusivos

Deixe um comentário