在你剛打開一個網站，只是在登錄界面打了幾個字母，還沒確認沒提交，網站居然就已經抓捕到了鍵入內容？

是的，根據來自歐洲頂尖研究型學術院?！商m拉德堡德大學、洛桑大學、魯汶大學的三位科學家的最新研究，全世界前10萬排名的網站中，有近5000個門戶網站都有過這樣的行為，如?？怂剐侣劇⑸虡I內幕（business insider）、時代（Time）等網站。

通過研究人員自制的爬蟲腳本可以看到，在某一網站的登錄界面輸入郵件地址，鼠標移動到下一個輸入框后，網站后臺就已經準確抓取到了已輸入數據：

用研究人員的話來說，就是“當點擊下一個字段時，它們會收集前一個字段”，包括用戶每一次修改的數據，甚至是賬號密碼。


那么，這樣的抓取行為到底是如何做到的？

事實上，很多常見的登錄窗口都是表單網頁，這是HTML中的一種概念，可以使網頁和用戶之間進行交互，并將用戶填寫的數據發送給服務器端。所以這些網頁也可以被看作是一張或多張表格，用戶名、密碼、郵件地址等輸入信息就是表格中的一行行數據。

不僅為了滿足基本的網頁交互需求，還出于其他要求——比如檢查鍵入的數據是否符合要求——用戶的所有在線活動，包括鼠標點擊和鍵入數據，對于網頁來說都是“透明”且“可抓取”的。

于是，很多網站便會使用一些第三方追蹤器來監測用戶，用于提供服務、廣告、營銷活動。

這些活動的合法與否，就在于網頁只是暫時抓取數據進行合法的交互，還是進行了行跨網站、跨平臺和持久的識別。

以Meta為例，它曾開發過一款第三方的網站事件管理/收集工具，Meta Pixel。

Meta Pixel有一種叫做“自動高級匹配”的功能，可以自動從網頁的表單數據中收集個人標識符，通過這一身份認證，就可以鎖定同一用戶在不同平臺上的操作，進而測量廣告的轉化率和成效。

同時，官方文檔里也寫明：在用戶提交表單時，Meta Pixel才會觸發數據收集。

但研究人員在調查中發現，Meta Pixel腳本在沒有識別到提交按鈕，或者監聽（表單）提交事件時，也會觸發數據收集機制。

也就是說，安裝有這一追蹤器的網站，在用戶點擊提交按鈕，甚至放棄表單關閉網頁之前，就已經收集到了個人數據。

研究團隊統計發現，有超過1.5萬個網站可能通過Meta Pixel泄露了信息。


此外，另一個較為出名的第三方網站事件管理工具，TikTok Pixel也有和Meta Pixel同樣的問題，涉及了上百個網站的信息泄露。

研究人員分別選出了美國和歐盟地區的十大泄露信息次數最多的網站，可以看到，其中的第三方網站事件管理工具除了上述兩家，還有taboola、Bizible等廣告商。

據了解，三位研究人員Asuman Senol、Gunes Acar、Mathias Humbert從去年開始調查，共爬取了10萬多個網站。在發現問題后，團隊已經在今年3月份向Meta提交了一份錯誤報告，該公司很快指派了一名工程師處理這個案件，但自那以后，就再也沒有收到過更新報告。而TikTok在得到通知后，也并沒有進一步的回應。

研究團隊表示，針對上述問題，他們已經開發了一款檢測網頁非法表單的插件，并將在今年8月份的Usenix安全會議上展示他們的發現，包括調查結果和爬蟲程序的構成。