Egy belga-holland-svájci egyetemi kutatócsapat szerint a felhasználói tevékenységet követő, marketing- és elemző cégek még azelőtt begyűjtik a webes űrlapokból a mailcímeket, mielőtt azokat a felhasználók elküldenék, és hozzájárulnának bármilyen adatuk tárolásához. A kutatásban (az eredményeket összegző tanulmány PDF-ben innen tölthető le) a Tranco nevű kutatási célokat szolgáló oldal rangsoráról a 100 ezer legnépszerűbb weboldal adatkezelését vizsgálták.

Amikor valaki kitölt egy webes űrlapot, a beküldés gombra kattintva egyben jelzi, hogy a formban megadott információ kezeléséhez egy konkrét célból hozzájárul. Csakhogy a weboldalakon olyan szkriptek is futhatnak, melyek még azelőtt elküldik az adatokat, mielőtt a felhasználó kattintana. Ez a GDPR egyértelmű megsértése. Az már csak hab a tortán, hogy az információk sok esetben titkosítatlanul vándorolnak rejtélyes céljuk felé.

Az adatok végállomása legtöbbször valami ismert tracking domain volt, de a kutatók azonosítottak több mint negyven olyan domaint is, melyek nem szerepelnek a legnépszerűbb blokkolási listák egyikén sem.

A poresznél ügyelnek legjobban a diszkrécióra

A csapat több mint ötven weboldalt talált a vizsgált mintában (többsége EU-s vagy az USA-ban regisztrált oldal), amelyen third-party forrásból származó, ún. munkafolyamat-visszajátszó szkriptek véletlenszerűen még jelszavakat is kiszivárogtattak. Ilyen szkriptekkel rögzített adatok (billentyűleütések, egérmozgás, görgetés stb.) alapján elemzik marketingcégek, hogy a felhasználó hogyan használja az adott oldalt. Mint a The Register felhívja a figyelmet, amikor hekkerek használnak ilyen szkirpteket, akkor azokat keyloggereknek vagy malware-nek nevezik, de a marketingcélúakat eufemisztikusan csak "session-replay" szkripteknek hívják.

Öt éve már lefuttattak egy hasonló kutatást, írja a brit lap, így volt összehasonlítási alap a GDPR előtti (a rendelet 2018 május 25-én élesedett) és utáni időszakról. Az eredményekből úgy tűnik, nem sok minden változott, hacsak az nem, hogy az emailcímek még értékesebbé váltak mint egyedi azonosítók. A böngészők egy része egyre fejlettebb eszközöket kínál a cookie-k és a nyomkövető szkriptek blokkolására. De ha sikerül megszerezni a mailcímet, azzal sokkal hosszabb ideig lehet nyomon követni valakit, hiszen a cím egyedi, tartós, és a tracking cégek számára pont azok a legizgalmasabb online (és offline) interakciók, melyek valamilyen módon az emailcímhez kapcsolódnak.

Általánosságban elmondható, hogy az amerikai oldalak között gyakoribbak a szivárogtató weblapok, mint az EU-sok között. A legtöbbet a divat/szépségápolás kategóriában találták a kutatók: az EU-ban minden tizedik, az USA-ban közel minden ötödik ilyen tematikájú oldal problémás (EU: 11 százalék, USA: 19 százalék). Jelentős a különbség az online vásárlási oldalaknál (EU: 9 százalék; USA: 15 százalék), illetve az általános híroldalaknál (EU: 7 százalék, USA: 10 százalék) is.

A pornográf tartalmakat kínáló oldalak viszont – milyen meglepő! –, ügyelnek a diszkrécióra. Az adatok védelme szempontjából a legbiztonságosabbnak bizonyultak. Kevesebb harmadik féltől származó tracking kódot tartalmaznak, és a vizsgált több száz ilyen tematikájú oldalról egyetlen emailcím sem szivárgott ki.

Péterfalvi Attila megnyalná mind a tíz ujját

A tanulmány szerzői szerint az EU-s webhelyek ezzel a gyakorlattal legalább három ponton sértik meg a GDPR előírásait: nem valósul meg sem az átláthatóság, sem a célhoz kötöttség, sem az előzetes hozzájárulás. És aki ezeket a szabályokat megsérti, arra vár a 20 millió eurós vagy az éves bevétele 4 százalékára rúgó bírság. Az USA-ban más a helyzet, mivel nincs szövetségi adatvédelmi törvény.

A szerzők 58 weboldalt és 28 third-party érintett céget keresetek meg. Volt, ahonnan azt a választ kapták, nem voltak tisztában a problémával, de javították. Ilyen volt például a Walt Disney tulajdonában lévő fivethirtyeight.com vagy az Atlassian trello.com-ja.

A marriott.com domain adatgyűjtője, a Glassbox digitális elemző cég inkább magyarázkodott: az információk segítenek a technikai támogatásban és a csalások megelőzésében. Az adatgyűjtést végző third-party partnerek egy része (pl. a Taboola, amely többek között az USA Today, a Business Insider vagy a brit Independent oldalán dolgozik) viszont egyszerűen elintézte azzal, hogy törvényesen járnak el.

Ilyen harmadik fél sok weboldalon a Meta (Facebook) is. Az EU-s mintában 21 weboldalt találtak, amelyről emailcím (sőt név és telefonszám) vagy annak hash-e a Facebookhoz kerül a felhasználó beleegyezése nélkül. A kutatók azt feltételezik, hogy a Facebook szkriptje küldés eseménynek értelmezi azt is, ha a felhasználó a küldés elutasítását jelző gombra kattint. Magyarázat azonban egyelőre nincs, mert a Facebook nem válaszolt a megkeresésre. Talán majd ha Wojciech Wiewiórowski EU-s adatvédelmi biztos is megkérdezi Zuckerbergéket.

Addig marad a felhasználók biztonságtudatossága. Meg valószínűleg utána is.