אתם מקלידים את כתובת הדוא"ל שלכם לטופס באתר אינטרנט, אך לא לוחצים על שלח. שעות לאחר מכן, מופיעה הודעת דוא"ל שיווקית בתיבת הדואר הנכנס שלכם. על פי מחקר חדש, זה לא צירוף מקרים. צוות חוקרים מאוניברסיטת קליפורניה דייוויס, אוניברסיטת מאסטריכט ומוסדות אחרים – גילה שאתרי אינטרנט רבים אוספים לחיצות מקשים במקלדת בזמן שמשתמשים מקלידים, לפעמים לפני שהטופס בכלל נשלח. המחקר בוחן כיצד לוכדים סקריפטים של צד שלישי ומשתפים מידע זה בדרכים העשויות להתאים להגדרה המשפטית של האזנות סתר על פי חוקי קליפורניה.
חוקי האזנות סתר נכתבו לפני עשרות שנים כדי למנוע יירוט בלתי מורשה של שיחות טלפון. עם הזמן הרחיבו בתי המשפט חוקים אלו כדי לכסות טכנולוגיות חדשות יותר כמו דוא"ל וכלי מעקב מסוימים באינטרנט. החוקרים יצאו לבדוק האם גם פרקטיקות האינטרנט של ימינו נופלות תחת כללים אלו. הם התמקדו ב'מאזיני אירועים' שהם פיסות קוד JavaScript שבהן משתמשים אתרי אינטרנט כדי לזהות פעולות משתמש כמו הקלדה, לחיצה או גלילה. מאזיני אירועים הינם נפוצים ולעתים קרובות אינם מזיקים. עם זאת, הם יכולים גם ללכוד את מה שהמשתמש מקליד בזמן אמת ולשלוח נתונים אלו לצד שלישי.
שאור מוניר – מחבר שותף של המחקר, סיפר ל- Help Net Security מדוע נקט צוותו גישה זהירה בהגדרת מה נחשב כהאזנת סתר: "במאמר שלנו אנו מאמצים הגדרה מחמירה במכוון של האזנת סתר. על פי סעיף 631 של CIPA בקליפורניה, יכולה האזנת סתר לכלול יירוט בו זמנית של תקשורת המשתמש. אתרי אינטרנט מצרפים באופן שגרתי מאזיני אירועים בצד הלקוח, שלוכדים את מה שאנשים מקלידים לפני שהם לוחצים על שלח. במדידות שלנו, צפינו בלכידות כאלו בכ- 40 אחוז מהאתרים", אמר מוניר. מכיוון שהחוק נכתב לפני שהרשת המודרנית הייתה קיימת, דרשו בתי המשפט ראיות נוספות. כדי לשקף זאת, ספרו החוקרים מקרה כהאזנת סתר רק אם יכלו לאשר שהנתונים נשלחו לשרת מרוחק ולא רק נתונים שנלכדו באופן מקומי. גישה מחמירה זו הורידה את המספרים המדווחים אך הבטיחה דיוק. החוקרים בנו סורק אינטרנט מותאם אישית ובדקו 15,000 אתרים ברחבי האינטרנט. הם גילו ש- 91 אחוז מהאתרים השתמשו במאזיני אירועים בצורה כלשהי. בעוד שרובם שימשו לפונקציות בסיסיות כמו מעקב אחר טעינות דפים או קליקים, שימש חלק משמעותי ממאזיני האירועים לניטור הקלדה. בסך הכל, ב- 38.5 אחוז מהאתרים הותקנו סקריפטים של צד שלישי שיכלו ליירט הקשות מקשים. ב- 3.18 אחוז מהאתרים, נשלחו הקשות המקשים שיורטו גם לשרת מרוחק. התנהגות זו, מציינים החוקרים, תואמת את ההגדרה הטכנית של האזנות סתר תחת CIPA. הנתונים שנלכדו כללו כתובות דוא"ל, מספרי טלפון וטקסט חופשי שהוקלד בטפסים. במקרים מסוימים, שימשו כתובות דוא"ל שהוזנו לטופס מאוחר יותר עבור הודעות דוא"ל שיווקיות בלתי רצויות, למרות שהמשתמש מעולם לא שלח את הטופס.
מוניר הסביר מדוע רגישות כתובות דוא"ל במיוחד: "כתובות דוא"ל משמשות כמזהים יציבים וספציפיים מאוד. לכידתן עוד לפני שמשתמשים שולחים טופס מאפשרת קישור בין אתרים והעשרה על ידי טכנולוגיית פרסום או ברוקרי נתונים". הוא הוסיף כי קיימים סיכונים גדולים אף יותר כאשר מבקשים אתרים ממשתמשים להקליד מידע רפואי או פיננסי. "באתרים המבקשים ממשתמשים להזין מידע רפואי או פיננסי רגיש, מהווה נוהג איסוף נתונים זה סיכון פרטיות עצום."
על פי חוק CIPA, חייב כל צד לשיחה להסכים לפני ביצוע יירוט. זהו חוק מחמיר יותר מחוקי האזנות סתר פדרליים, הדורשים הסכמה מצד אחד בלבד. המחקר אינו מכריז על פעולות של אף חברה ספציפית כבלתי חוקיות. במקום זאת, הוא מספק ראיות לכך שחלק משיטות המעקב יכולות להיחשב כהאזנות סתר בהתאם לאופן שבו מפרשים בתי המשפט את החוק. זה חשוב מכיוון שחוק CIPA מאפשר לאנשים פרטיים להגיש תביעות פרטיות. משמעות הדבר היא שאכיפה אינה מסתמכת רק על פעולה ממשלתית.
מוניר אמר כי רגולטורים ומחוקקים צריכים לנקוט צעדים כדי לפעול בבהירות: "הבהרת מעמד של צד שלישי תחת סעיף 631: סעיף 631 מכוון למאזיני סתר ולמסייעים או מסייעים של צד שלישי. יש להתייחס לספקי ניתוחים מוטמעים והשמעת סשנים כצדדים שלישיים, אלא אם כן הסכים המשתמש במפורש להשתתפותו. הטמעה על ידי האתר לא צריכה להפוך ספק לצד." הוא גם קרא לשינויים ברמה הפדרלית כדי להתאים טוב יותר להגנות המדינה: "כדי להגן על משתמשים ברחבי המדינה, יש צורך לעדכן את דרישת ההסכמה של ECPA כך שתשקף את הסכמת שני הצדדים של CIPA."
מנקודת מבט של פרטיות, מדגיש המחקר עד כמה מעט שליטה יש למשתמשים על הנתונים שלהם לאחר שהם עוזבים את הדפדפן שלהם. אפילו ללא הגשת טופס, יכול מידע רגיש להיאסף ולהיות משותף אותו עם גורמים מרובים, לעתים קרובות ללא גילוי. מוניר תיאר מדוע כה מדאיג איסוף נתונים שקט זה. "שקלו תרחיש שבו מקליד משתמש מידע פרטי בתיבת טקסט באתר אינטרנט ואז מוחק אותו מבלי לשלוח אותו מכיוון שהוא עלול להרגיש לא בנוח לשתף מידע זה אפילו עם אתר האינטרנט של הצד הראשון. לא יהיה להם מושג שלמרות שמעולם לא הגישו מידע זה, הוא עדיין נלכד והועבר לצד שלישי." הוא הוסיף: "מצב זה סותר שתי רמות של ציפיות המשתמשים לפרטיות: ראשית, שרק הצד הראשון נחשף למידע שמשתמשים מספקים ושנית, שרק מידע שהוגש בפועל על ידי משתמשים יכול להיקרא על ידי גורמים שונים באתר האינטרנט." יש לציין כי עבור ארגונים, חורגים הסיכונים מעבר לציות לחוק: אם מגלים לקוחות שאתר אינטרנט לוכד הקשות מקלדת, האמון עלול להישחק במהירות. החוקרים מציעים לחברות לבחון כיצד נעשה שימוש בסקריפטים של צד שלישי ולוודא שהמשתמשים מבינים מתי ומדוע נאספים הנתונים שלהם.
