Honderden websites verzamelen data van webforms voordat gebruikers die versturen

Honderden websites verzamelen informatie die gebruikers in webformulieren typen en sturen die door naar trackingbedrijven, ook voordat gebruikers het formulier daadwerkelijk versturen. Dat meldde Tweakers onlangs op gezag van onderzoek uit Leuven getiteld “Leaky forms”. Het alvast verwerven van gegevens die je invult maar nog niet opstuurt zal voor veel mensen verrassend zijn, en is natuurlijk zeer problematisch onder de AVG – juist omdat het niet is wat je verwacht. En nee, dat veel van die sites een hash opsturen van het emailadres is volstrekt irrelevant.

Tweakers legt uit hoe men te werk ging:

[De onderzoekers] bouwden vervolgens een crawler die was gebaseerd op DuckDuckGo’s Tracker Radar Collector. Die zoekt naar velden om e-mailadressen en wachtwoorden in webformulieren in te vullen. In dat geval onderschept de crawler ook het netwerkverkeer van die sites om te kijken welke informatie er op welk moment wordt verzonden.
Men stelde vast dat bij 1844 van de onderzochte 100.000 websites er dus al ingevulde informatie werd verstuurd nog voordat de gebruiker daadwerkelijk op de onderdrukking-knop drukte. Meestal ging het dan om inlog- of nieuwsbriefinschrijfformulieren, en vaak werd dan niet het rauwe mailadres maar een hash daarvan verstuurd.

Technisch niet heel moeilijk, maar waarom doet men dit? Het was even denken, maar een legitieme reden is dat je bij een website-inschrijving bijvoorbeeld kunt zeggen dat een gekozen gebruikersnaam al bezet is. Dat gebeurt ook wel voor mailadressen: “Er is al een account bij dit adres” zie je dan tijdens het invullen. Maar dat vind ik al iets dubieuzer: zo kun je achterhalen of iemand wiens mailadres jij weet, gebruiker of klant is van die site. En dat kan een privacyschending zijn.

De onderzoekers lieten echter zien dat veel van deze informatie door derde partijen wordt uitgelezen, vaak zo te zien invoegtoepassingen die zichzelf nestelen in je formulieren. Dit zie je vaker, mensen installeren een analyticstool voor het een of ander en die blijkt veel dieper informatie op te vragen dan een eerste blik op de handleiding doet vermoeden. Dit verklaart ook waarom bijvoorbeeld de Vogelbescherming direct riep dat zij “geen persoonsgegevens deelt” met derden, zij het met de mysterieuze toevoeging dat “[zij] deze gegevens inzetten om de website gebruikersvriendelijker te maken.” Dan heb ik liever “onze nitwit van een webdesigner had HotJar met alle opties aan geïnstalleerd, dit staat nu uit, sorry” als reactie, maar goed.

Ik heb even snel wat van de genoemde sites bekeken, maar geen van hen noemt dit in de privacyverklaring of heeft op het formulier een “wij/derden lezen mee” verklaring. En omdat het hier gaat om dingen waar de gemiddelde consument door verrast wordt, moet dat echt wel van de AVG.

Arnoud

3 reacties

  1. Maar dat vind ik al iets dubieuzer: zo kun je achterhalen of iemand wiens mailadres jij weet, gebruiker of klant is van die site.

    Uiteindelijk kom je daar uiteindelijk toch wel achter*, wanneer je probeert om je daadwerkelijk te registreren onder dat adres. Dat staat helemaal los van of het veld tussendoor al informatie verstuurt. Overigens vind ik dat in dit geval wel degelijk “te verwachten gedrag”.

    *) Ik ken maar één site die dat echt goed doet (volgens mij een Atlassian product) die na registratie zegt “Misschien had je al een account, misschien ook niet. Je hebt in ieder geval een mail”.

    bij 1844 van de onderzochte 100.000 websites

    Dan vind ik je kop wel een tikje clickbaiterig, met “Nog niet eens 2 procent” was je accurater geweest dan met “honderden”. Dan heb ik een beetje het gevoel dat je het jammer vindt dat het niet 2001 sites waren en je “duizenden” kon zeggen 😉

  2. Dan vind ik je kop wel een tikje clickbaiterig, met “Nog niet eens 2 procent” was je accurater geweest dan met “honderden”.
    2 procent van de websites is niet accuraat; er is geen aselecte steekproef uitgevoerd maar een onderzoek naar de 100K meest bezochte websites.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.