Näppäimistökaappari eli keylogger on yleensä haittaohjelma, jolla esimerkiksi kriminaali voi kerätä kirjautumis- tai maksutietoja uhriltaan. Yllättävän moni ihmisten käyttämä, aivan tavallinen verkkosivu voi tällaisen haitakkeen tavoin tallentaa kävijöidensä tietoja, kertoo Wired .

Kyse on lomakkeista ja tietokentistä, joihin ihmiset voivat kirjoittaa tietoja itsestään, esimerkiksi lähettää sähköpostiosoitteensa tilatakseen uutiskirjeen tai muuta vastaavaa.

Kävijä saattaa olettaa, että sähköpostiosoite tallennetaan vasta siinä vaiheessa, kun lähetä-painiketta painetaan, mutta todellisuudessa osoite voi jäädä talteen, vaikka kävijä muuttaisikin mielensä ja jättäisi tietonsa varsinaisesti lähettämättä.

Havainnon tekivät kolmen yliopiston tutkijat, jotka kävivät läpi 100 000 suosituinta verkkosivustoa. Sivustoja vertailtiin myös sen perusteella, näyttääkö kävijä olevan Euroopassa vai Yhdysvalloissa.

LUE MYÖS

Tulokset olivat hurjia. 1844 sivua nappasi talteen EU-alueella olleen kävijänsä sähköpostiosoitteen ilman erillistä suostumusta. Yhdysvaltalaiskävijöiden sähköposteja keräsi peräti 2950 sivua.

Sähköpostiosoite on itsessään hyvin vahva tunniste, jonka perusteella kävijä on helppo profiloida ja seurata.

Monissa tapauksissa sivun itsessään ei ole tarkoitus tietoja kerätä, mutta ne sisältävät kolmannen osapuolen markkinointi- ja analytiikkapalveluita, jotka voivat tietoja kerätä.

Tutkijat esittelevät löydöksiään tietoturvakonferenssissa elokuussa. He kiinnostuivat ”vuotavista lomakkeista” lehtiartikkeleiden perusteella.

Lomakkeet voivat kerätä kävijöiden kirjoittamia tietoja näppäimistökaappareiden tavoin, painallus painallukselta. Vaihtoehtoisesti monet sivut keräsivät tietoa sitä mukaa, kun kävijä siirtyi verkkolomakkeella tekstikentästä toiseen. Sen sijaan, että tiedot tallentuisivat vasta, kun lomake loppuun asti täytettynä lähetettäisiin, voi kenttiin syötetty tieto tallentua jonnekin jo aiemmin ja täysin huomaamatta.

Tutkijat arvelevat, että yksi syy EU- ja yhdysvaltalaiskävijöiden välillä huomattuun eroon voisi olla EU:n yleinen tietosuoja-asetus gdpr ja sitä seurannut yritysten valppaus. Varmaa selitystä ei kuitenkaan ole, sillä tutkimuksessa ei näihin eroihin perehdytty tarkemmin.