【編者按】本文轉載自公眾號“安全圈”，為秦安戰略朋友們提供有價值資料。

只是在登入介面打了幾個字母，沒確認沒提交，網站居然就已經抓捕到了鍵入內容？

是的，根據來自歐洲頂尖研究型學術院校——荷蘭拉德堡德大學、洛桑大學、魯汶大學的三位科學家的最新研究，全世界前10萬排名的網站中，有近5000個入口網站都有過這樣的行為，如福克斯新聞、商業內幕（business insider）、時代（Time）等網站。

透過研究人員自制的爬蟲指令碼可以看到，在某一網站的登入介面輸入郵件地址，滑鼠移動到下一個輸入框後，網站後臺就已經準確抓取到了已輸入資料：

用研究人員的話來說，就是“當點選下一個欄位時，它們會收集前一個欄位”，包括使用者每一次修改的資料，甚至是賬號密碼。

那麼，這樣的抓取行為到底是如何做到的？

事實上，很多常見的登入視窗都是表單網頁，這是HTML中的一種概念，可以使網頁和使用者之間進行互動，並將使用者填寫的資料傳送給伺服器端。所以這些網頁也可以被看作是一張或多張表格，使用者名稱、密碼、郵件地址等輸入資訊就是表格中的一行行資料。

不僅為了滿足基本的網頁互動需求，還出於其他要求——比如檢查鍵入的資料是否符合要求——使用者的所有線上活動，包括滑鼠點選和鍵入資料，對於網頁來說都是“透明”且“可抓取”的。

於是，很多網站便會使用一些第三方追蹤器來監測使用者，用於提供服務、廣告、營銷活動。

這些活動的合法與否，就在於網頁只是暫時抓取資料進行合法的互動，還是進行了跨網站、跨平臺和持久的識別。

以Meta為例，它曾開發過一款第三方的網站事件管理/收集工具，Meta Pixel。

Meta Pixel有一種叫做“自動高階匹配”的功能，可以自動從網頁的表單資料中收集個人識別符號，透過這一身份認證，就可以鎖定同一使用者在不同平臺上的操作，進而測量廣告的轉化率和成效。

同時，官方文件裡也寫明：在使用者提交表單時，Meta Pixel才會觸發資料收集。

但研究人員在調查中發現，Meta Pixel指令碼在沒有識別到提交按鈕，或者監聽（表單）提交事件時，也會觸發資料收集機制。

也就是說，安裝有這一追蹤器的網站，在使用者點選提交按鈕，甚至放棄表單關閉網頁之前，就已經收集到了個人資料。

研究團隊統計發現，有超過1。5萬個網站可能透過Meta Pixel洩露了資訊。

此外，另一個較為出名的第三方網站事件管理工具，TikTok Pixel也有和Meta Pixel同樣的問題，涉及了上百個網站的資訊洩露。

研究人員分別選出了美國和歐盟地區的十大洩露資訊次數最多的網站，可以看到，其中的第三方網站事件管理工具除了上述兩家，還有taboola、Bizible等廣告商。

據瞭解，三位研究人員Asuman Senol、Gunes Acar、Mathias Humbert從去年開始調查，共爬取了10萬多個網站。在發現問題後，團隊已經在今年3月份向Meta提交了一份錯誤報告，該公司很快指派了一名工程師處理這個案件，但自那以後，就再也沒有收到過更新報告。而TikTok在得到通知後，也並沒有進一步的迴應。

研究團隊表示，針對上述問題，他們已經開發了一款檢測網頁非法表單的外掛，並將在今年8月份的Usenix安全會議上展示他們的發現，包括調查結果和爬蟲程式的構成。