「送信」ボタンを押す前に内容を取得している悪質な入力フォームが発見される

By Thibault J.

名前・メールアドレス・電話番号などを入力するフォームはオンライン上では珍しくない存在ですが、その中に、入力した情報を「送信」ボタンを押すよりも前の段階で取得しているものが少なからず存在していることが明らかになりました。

Before You Hit 'Submit,' This Company Has Already Logged Your Personal Data
http://gizmodo.com/before-you-hit-submit-this-company-has-already-logge-1795906081


WebSites Found Collecting Data from Online Forms Even Before You Click Submit
http://thehackernews.com/2017/06/online-form-privacy.html


アメリカナンバーワンのオンライン住宅ローンサービス・「Quicken Loans」が提供している住宅ローンシミュレーターもその1つで、入力した名前・メールアドレス・電話番号などの情報がBase64で変換され、ユーザーが「送信」ボタンを押すより先に、オハイオ州に拠点を置くNaviStoneという企業のサーバーに送る仕組みが隠されていました。ちなみに、この情報はユーザーが途中で心変わりしてページを閉じた場合でも情報を送信していたことが分かっています。

Gizmodoによると、このJavascriptコードは前述のQuicken Loansのほか、教育センターや女性向け衣料品店、そのほか小売業者などが提供するウェブサイト上のオンラインフォームで使用されていたとのこと。ウェブサービスの開発環境を調べる拡張機能「BuiltWith Technology Profiler」を提供するBuiltWith Technologyによれば、使用しているサイトの数は少なくとも100を超えるそうです。

NaviStoneはこのGizmodoの報道を受けて、ユーザーが「送信」を押すまでは情報を取得しないようにシステムを変更したとのこと。

ちなみに、ユーザーが意図しない情報を勝手に盗まれるリスクという点では、オンラインフォームに情報を自動入力する機能(オートフィル機能)も危険であることがウェブ開発者でハッカーでもあるViljami Kuosmanen氏によって指摘されています。

名前やメールアドレス・住所などを自動的に入力してくれる「オートフィル機能」を使うと個人情報がこっそり盗まれる危険性あり - GIGAZINE

・関連記事
Googleがニセのダウンロードボタンに偽装した広告などに警告表示 - GIGAZINE

HTMLのフォームのパーツだけでピタゴラスイッチを作るとこうなる - GIGAZINE

無料でなかなかありそうでないスマートなアンケートフォームを簡単に作成&集計もしてくれる「Typeform」 - GIGAZINE

無料で入力フォーム作成が可能で高度な顧客管理も可能なサービス「formrun」 - GIGAZINE

317

in セキュリティ, Posted by logc_nt