Keyloggers: veel mensen denken hierbij aan software die door kwaadwillenden op je computer wordt geïnstalleerd en waardoor ze weten welke wachtwoorden je gebruikt op basis van je aanslagen op het toetsenbord. Dat klopt, maar er zijn nog veel meer keyloggers actief in de wereld. Wat dacht je van duizenden websites, die allemaal kunnen zien wat jij in formulieren intypt, zonder dat je ook maar ‘OK’ of ‘Verzenden’ hebt geklikt.
Onderzoekers van de Radboud-universiteit, KU Leuven en de Universiteit van Lausanne hebben grootschalige keylogging opgespoord op gigantisch veel websites. In een paper genaamd Leaky Forms leggen de onderzoekers uit dat formulieren op een website niet per se pas worden verstuurd als jij op die knop klikt. Ook als je nog aan het typen bent, dan kijken heel veel websites gewoon mee. Je data wordt al verzameld, zonder dat je hier ook maar erg in hebt.
De onderzoekers maakten in hun research het verschil tussen iemand die surft vanuit de Europese Unie of vanuit de Verenigde Staten. Gelukkig komen we er als Europeanen beter vanaf dan de Amerikanen. Bij de 100.000 grootste websites ter wereld bleken 1.844 websites zonder toestemming het e-mailadres van de Europeaan vast te leggen, terwijl dat bij Amerikaanse internetters 2.950 keer het geval was. Het erge is: ook het ‘wachtwoord’-vakje wordt dus vaak al gelogd voor je op verzenden hebt gedrukt, waardoor websites je wachtwoord allang weten (of eventuele andere wachtwoorden die je vervolgens weer weghaalt).
Gelukkig zijn er inmiddels 52 sites die zichzelf hebben verbeterd, maar dan zijn er nog steeds veel grote titels over die aan de bak moeten met hun slinkse wijze van gegevens verzamelen. Güneş Acar, professor op de Radboud Universiteit, zegt tegen Ars Technica het volgende: “Als er een knop Verzenden op een formulier staat, is de redelijke verwachting dat het iets doet: dat het je gegevens verzendt wanneer je erop klikt. We waren enorm verrast door deze resultaten. We dachten dat we misschien een paar honderd websites zouden vinden waar je e-mail wordt verzameld voordat je deze indient, maar dit overtrof onze verwachtingen volledig.”
Het grootste probleem met deze praktijken is dat mensen zich echt totaal niet bewust zijn van dit gegeven. Bij sommige handelingen op het internet weet je dat er misschien iets kan gebeuren, maar bij het invullen van een formulier verwacht je niet dat er voor je ook maar op een knop drukt al iets gebeurt. Zeker niet omdat je er op dat moment ook helemaal nog geen toestemming voor hebt gegeven. Wat als je je bedenkt en het formulier toch niet instuurt? De website heeft dan mogelijk wel vast je e-mailadres kunnen ontfutselen. Sommige websites leggen daarbij echt letter voor letter vast wat je typt, terwijl anderen wachten tot je naar het volgende vakje gaat om de hele inhoud van het eerdere vakje op te slaan.
Helaas komt Meta (moederbedrijf van Facebook) ook weer om de hoek kijken. Meta Pixel ligt ook onder vuur. Dit is een onzichtbare marketingtracker waarmee bedrijven kunnen zorgen dat de mensen op hun website advertenties krijgen voorgeschoteld. Waar je echter als gebruiker de optie krijgt om ‘automatisch matchende advertenties’ aan te zetten waarbij data wordt opgeslagen wanneer je een formulier instuurt, blijkt dat Meta Pixel gewoon e-mailadressen opslaat en naar Meta lekt.
In de Verenigde Staten gaat het om 8.438 websites versus 7.379 websites in Europa. Daar moet bij worden vermeld dat het niet alleen om Meta Pixel gaat: ook TikTok Pixel (dezelfde dienst maar dan voor TikTok) gaat zo te werk. Wel kleinschaliger: dat heeft in de VS 154 websites en 147 websites in de EU die zo data verzamelen en doorspelen naar in dit geval Bytedance. Dit kan nog wel een staartje gaan krijgen, want in tegenstelling tot cookies die je eens in de zoveel tijd weer even wegdoet, is je e-mailadres eigenlijk gewoon jouw eigen plekje, jouw adres op het web.
Weet iemand die eenmaal, dan kan hij je volledig volspammen of proberen te hacken. Je kunt er iets tegen doen, namelijk de Firefox-extensie LeakInspector gebruiken. Deze is gemaakt door de onderzoekers en zorgt dat wordt gezien wanneer een website via zijn formulier al je data verzamelt voor je ook maar op dat blijkbaar toch niet zo belangrijke ‘verzenden’-knopje hebt geklikt (of getikt, want het gaat uiteraard ook om mensen die via hun smartphone naar zo’n website gaan).
Ook al kun je aan deze praktijken nu weinig veranderen (behalve erop gewezen worden via LeakInspector), is het wel goed om je hier bewust van te zijn. Kopieer niet zomaar klakkeloos iets in een formulier en besef je dat wat je typt ook zonder die toestemmingsknop mogelijk allang bij de aanbieder van de website ligt. De onderzoekers presenteren hun bevindingen in augustus op een groot techevenement, waarna hopelijk de bal gaat rollen en het moeilijker wordt gemaakt voor websites om op deze manier met zijn bezoekers om te gaan.