只是在登錄界面打了幾個(gè)字母，沒(méi)確認(rèn)沒(méi)提交，網(wǎng)站居然就已經(jīng)抓捕到了鍵入內(nèi)容？

是的，根據(jù)來(lái)自歐洲頂尖研究型學(xué)術(shù)院?！商m拉德堡德大學(xué)、洛桑大學(xué)、魯汶大學(xué)的三位科學(xué)家的最新研究，全世界前10萬(wàn)排名的網(wǎng)站中，有近5000個(gè)門戶網(wǎng)站都有過(guò)這樣的行為，如福克斯新聞、商業(yè)內(nèi)幕（business insider）、時(shí)代（Time）等網(wǎng)站。

通過(guò)研究人員自制的爬蟲腳本可以看到，在某一網(wǎng)站的登錄界面輸入郵件地址，鼠標(biāo)移動(dòng)到下一個(gè)輸入框后，網(wǎng)站后臺(tái)就已經(jīng)準(zhǔn)確抓取到了已輸入數(shù)據(jù)：

用研究人員的話來(lái)說(shuō)，就是“當(dāng)點(diǎn)擊下一個(gè)字段時(shí)，它們會(huì)收集前一個(gè)字段”，包括用戶每一次修改的數(shù)據(jù)，甚至是賬號(hào)密碼。

那么，這樣的抓取行為到底是如何做到的？

事實(shí)上，很多常見(jiàn)的登錄窗口都是表單網(wǎng)頁(yè)，這是HTML中的一種概念，可以使網(wǎng)頁(yè)和用戶之間進(jìn)行交互，并將用戶填寫的數(shù)據(jù)發(fā)送給服務(wù)器端。所以這些網(wǎng)頁(yè)也可以被看作是一張或多張表格，用戶名、密碼、郵件地址等輸入信息就是表格中的一行行數(shù)據(jù)。

不僅為了滿足基本的網(wǎng)頁(yè)交互需求，還出于其他要求——比如檢查鍵入的數(shù)據(jù)是否符合要求——用戶的所有在線活動(dòng)，包括鼠標(biāo)點(diǎn)擊和鍵入數(shù)據(jù)，對(duì)于網(wǎng)頁(yè)來(lái)說(shuō)都是“透明”且“可抓取”的。

于是，很多網(wǎng)站便會(huì)使用一些第三方追蹤器來(lái)監(jiān)測(cè)用戶，用于提供服務(wù)、廣告、營(yíng)銷活動(dòng)。

這些活動(dòng)的合法與否，就在于網(wǎng)頁(yè)只是暫時(shí)抓取數(shù)據(jù)進(jìn)行合法的交互，還是進(jìn)行了行跨網(wǎng)站、跨平臺(tái)和持久的識(shí)別。

以Meta為例，它曾開發(fā)過(guò)一款第三方的網(wǎng)站事件管理/收集工具，Meta Pixel。

Meta Pixel有一種叫做“自動(dòng)高級(jí)匹配”的功能，可以自動(dòng)從網(wǎng)頁(yè)的表單數(shù)據(jù)中收集個(gè)人標(biāo)識(shí)符，通過(guò)這一身份認(rèn)證，就可以鎖定同一用戶在不同平臺(tái)上的操作，進(jìn)而測(cè)量廣告的轉(zhuǎn)化率和成效。

同時(shí)，官方文檔里也寫明：在用戶提交表單時(shí)，Meta Pixel才會(huì)觸發(fā)數(shù)據(jù)收集。

但研究人員在調(diào)查中發(fā)現(xiàn)，Meta Pixel腳本在沒(méi)有識(shí)別到提交按鈕，或者監(jiān)聽(tīng)（表單）提交事件時(shí)，也會(huì)觸發(fā)數(shù)據(jù)收集機(jī)制。

也就是說(shuō)，安裝有這一追蹤器的網(wǎng)站，在用戶點(diǎn)擊提交按鈕，甚至放棄表單關(guān)閉網(wǎng)頁(yè)之前，就已經(jīng)收集到了個(gè)人數(shù)據(jù)。

研究團(tuán)隊(duì)統(tǒng)計(jì)發(fā)現(xiàn)，有超過(guò)1.5萬(wàn)個(gè)網(wǎng)站可能通過(guò)Meta Pixel泄露了信息。

此外，另一個(gè)較為出名的第三方網(wǎng)站事件管理工具，TikTok Pixel也有和Meta Pixel同樣的問(wèn)題，涉及了上百個(gè)網(wǎng)站的信息泄露。

研究人員分別選出了美國(guó)和歐盟地區(qū)的十大泄露信息次數(shù)最多的網(wǎng)站，可以看到，其中的第三方網(wǎng)站事件管理工具除了上述兩家，還有taboola、Bizible等廣告商。

據(jù)了解，三位研究人員Asuman Senol、Gunes Acar、Mathias Humbert從去年開始調(diào)查，共爬取了10萬(wàn)多個(gè)網(wǎng)站。在發(fā)現(xiàn)問(wèn)題后，團(tuán)隊(duì)已經(jīng)在今年3月份向Meta提交了一份錯(cuò)誤報(bào)告，該公司很快指派了一名工程師處理這個(gè)案件，但自那以后，就再也沒(méi)有收到過(guò)更新報(bào)告。而TikTok在得到通知后，也并沒(méi)有進(jìn)一步的回應(yīng)。

研究團(tuán)隊(duì)表示，針對(duì)上述問(wèn)題，他們已經(jīng)開發(fā)了一款檢測(cè)網(wǎng)頁(yè)非法表單的插件，并將在今年8月份的Usenix安全會(huì)議上展示他們的發(fā)現(xiàn)，包括調(diào)查結(jié)果和爬蟲程序的構(gòu)成。