研究指稱許多網站在使用者還沒提交前，就已外洩所輸入的內容

一群來自荷蘭Radboud大學、瑞士洛桑大學與比利時魯汶大學的研究人員，在本周公布了一份研究報告，指出有些網站在使用者輸入表單但並未提交之前，追蹤器就得以取得相關內容，諸如電子郵件帳號與密碼。

此一研究報告名為《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》，研究人員針對全球前10萬個網站展開調查，從歐盟及美國執行爬蟲程式，透過桌面與行動瀏覽器，並使用3種不同的Cookie同意設定來調查使用者同意與否，總計爬梳了全球前10萬個網站的280萬個網頁。

相關的爬蟲程式能夠偵測網頁上的電子郵件欄位，還能填入電子郵件與密碼，同時攔截存取這些欄位的腳本程式。

調查顯示，從歐盟執行的爬蟲程式發現有1,844個網站在使用者填入表單，但尚未提交之前，就讓追蹤器蒐集使用者所填入的電子郵件，自美國執行的爬蟲程式則發現了2,950個網站擁有同樣的行為，當中有60%的網站是一樣的。

此外，研究人員還發現有41個追蹤器的網域是未知的。

除了電子郵件之外，還有52個網站意外地讓行為重播供應商（Session Replay Provider）蒐集了使用者所填入的密碼。

上述的電子郵件或密碼的蒐集行為，都是在使用者填入資料，但尚未提交之前就發生的。

值得注意的是，不管是自歐洲或美國造訪，在使用者尚未提交電子郵件就外洩的前十大網站中，有不少為新聞網站，包括USA Today、英國的Independent、News Week、Business Insider、Time、Fox News與The Verge等，不過它們都已在接到通知後，於今年2月修補了此一臭蟲。

而蒐集這些網站未提交表單的第三方追蹤器則來自於不少知名業者，包括Adobe、Oracle、Salesforce、Meta與TikTok等。

當中比較特別的是Meta與TikTok，因為它們的追蹤器都具備自動進階比對（Automatic Advanced Matching）功能，可自動自網路上的表單中蒐集雜湊的使用者標識符，以用來遞送目標式廣告，而且它們並無法辨識「提交」鍵，而是在使用者執行任何點擊時，也許是其它按鍵或連結，就會自動蒐集使用者已輸入的雜湊個人資訊。

在發現此事之後，研究人員再針對這10萬個網站執行了額外的爬蟲程式，以檢查哪些外洩是因為無關的按鍵而造成，結果分別有8,438個（美國）及7,379個（歐盟）網站會將使用者資料傳送給Meta，也分別有154個（美國）及147個（歐盟）網站會將使用者資料傳送給TikTok。

至於外洩密碼的52個網站中，最知名的莫過於俄羅斯最大搜尋引擎Yandex，研究人員相信這類的蒐集行為都是意外，而且已通知相關業者。