Sebuah penelitian baru yang diterbitkan oleh akademisi dari KU Leuven, Radboud University, dan University of Lausanne telah mengungkapkan bahwa alamat email pengguna dieksfiltrasi ke domain pelacakan, pemasaran, dan analitik sebelum dikirimkan dan tanpa persetujuan sebelumnya.
Studi ini melibatkan perayapan 2,8 juta halaman dari 100 situs web teratas, dan menemukan bahwa sebanyak 1.844 situs web memungkinkan pelacak untuk menangkap alamat email sebelum pengiriman formulir di Uni Eropa, jumlah yang melonjak menjadi 2.950 ketika kumpulan situs web yang sama dikunjungi dari Amerika Serikat
“Email (atau hashnya) dikirim ke 174 domain berbeda (eTLD+1) di perayapan AS, dan 157 domain berbeda di perayapan UE,” kata para peneliti. Selanjutnya, 52 situs web bertekad untuk mengumpulkan kata sandi dengan cara yang sama, masalah yang sejak itu telah diatasi setelah pengungkapan yang bertanggung jawab.
LiveRamp, Taboola, Adobe, Verizon, Yandex, Meta, TikTok, Salesforce, Listrak, dan Oracle adalah beberapa pelacak pihak ketiga teratas yang terlihat mencatat alamat email, sementara Yandex, Mixpanel, dan LogRocket memimpin daftar dalam kata sandi -kategori perebutan.
Alamat email menimbulkan sejumlah keuntungan. Tidak hanya unik, memungkinkan pihak ketiga untuk melacak pengguna di seluruh perangkat, itu juga dapat digunakan untuk mencocokkan aktivitas online dan offline mereka, katakanlah, dalam skenario di mana mereka melakukan pembelian di dalam toko yang mengharuskan mereka untuk membagikan alamat email mereka atau mendaftar untuk kartu loyalitas.
Gagasan di balik pengambilan alamat email yang dimasukkan dalam formulir online, bahkan dalam kasus di mana pengguna tidak mengirimkan formulir apa pun, juga telah didorong oleh upaya berkelanjutan oleh vendor browser untuk menghentikan dukungan untuk cookie pihak ketiga, memaksa pemasar untuk mencari pengidentifikasi statis alternatif untuk melacak pengguna.
Kekhawatiran semacam itu bukan yang pertama kali muncul. Pada Juni 2017, Gizmodo menemukan bahwa pihak ketiga bernama NaviStone mengumpulkan informasi pribadi dari formulir kalkulator hipotek sebelum diajukan, dengan sangat sedikit situs web yang secara eksplisit mengungkapkan praktik ini dalam kebijakan privasi mereka.
Maju cepat lima tahun kemudian, tidak banyak yang berubah, kata para peneliti, dengan situs web yang terkait dengan mode/kecantikan, belanja online, dan berita umum yang muncul sebagai kategori teratas dengan “bentuk yang paling bocor”.
“Meskipun mengisi bidang email di ratusan situs web yang dikategorikan sebagai pornografi, kami tidak memiliki satu pun kebocoran email,” temuan tersebut menunjukkan, mencatat bagaimana hal itu sejalan dengan penelitian sebelumnya yang menunjukkan bahwa situs web dewasa memiliki pelacak pihak ketiga yang relatif lebih sedikit jika dibandingkan dengan situs umum dengan popularitas yang sebanding.
Terlebih lagi, praktik semacam itu mungkin melanggar setidaknya tiga persyaratan Peraturan Perlindungan Data Umum (GDPR) yang berbeda di UE, yang bertentangan dengan prinsip transparansi, batasan tujuan, dan persetujuan pengguna.
“Pengguna harus berasumsi bahwa informasi pribadi yang mereka masukkan ke dalam formulir web dapat dikumpulkan oleh pelacak—bahkan jika formulir itu tidak pernah dikirimkan,” para peneliti menyimpulkan, menyerukan penyelidikan lebih lanjut dari vendor browser, pengembang alat privasi, dan agen perlindungan data.