UID kaçakçılığı: Çevrimiçi kullanıcıları izlemek için yeni bir teknik
Reklamverenler ve web izleyicileri, özellikle kullanıcıların tarayıcılarına üçüncü taraf tanımlama bilgileri yerleştirerek, onlarca yıldır ziyaret ettikleri tüm web sitelerinde kullanıcıların bilgilerini toplayabilmiştir. İki yıl önce, kullanıcı gizliliğine öncelik veren birkaç tarayıcı, varsayılan olarak tüm kullanıcılar için üçüncü taraf tanımlama bilgilerini engellemeye başladı. Bu, diğer şirketler adına web’e reklam yerleştiren ve ne kadar ödeme almaları gerektiğini belirlemek için tıklama oranlarını izlemek üzere tanımlama bilgilerine güvenen işletmeler için önemli bir sorun teşkil eder.
Reklamverenler, Web’de kullanıcıları izlemek için kullanıcı kimliği (veya UID) kaçakçılığı olarak bilinen ve üçüncü taraf tanımlama bilgilerini gerektirmeyen yeni bir yönteme öncülük ederek yanıt verdiler. Ancak kimse, bu yöntemin İnternet’teki insanları izlemek için ne sıklıkta kullanıldığını tam olarak bilmiyordu.
UC San Diego’daki araştırmacılar ilk kez, CrumbCruncher adlı bir ölçüm aracı geliştirerek UID kaçakçılığının vahşi doğadaki sıklığını ölçmeye çalıştılar. CrumbCruncher, Web’de sıradan bir kullanıcı gibi gezinir, ancak yol boyunca UID kaçakçılığı kullanılarak kaç kez izlendiğini takip eder. Araştırmacılar, CrumbCruncher’ın yaptığı navigasyonların yaklaşık yüzde 8’inde UID kaçakçılığının mevcut olduğunu buldular. Ekip ayrıca, tarayıcı geliştiricilerinin kullanması için hem eksiksiz veri setini hem de ölçüm ardışık düzenini yayınlıyor.
Bir bilgisayar bilimi doktorası olan ilk yazar Audrey Randall , ekibin ana hedefinin tarayıcı geliştiricileri ile sorun hakkında farkındalık yaratmak olduğunu söyledi . UC San Diego’da öğrenci. “UID kaçakçılığı tahmin ettiğimizden daha yaygın bir şekilde kullanılıyor” dedi. “Ancak bunun ne kadarının kullanıcı gizliliği için bir tehdit olduğunu bilmiyoruz.”
Kullanıcı kimliği kaçakçılığı nasıl çalışır?
Araştırmacılar, UID kaçakçılığının meşru kullanımları olabileceğini söylüyor. Örneğin, kullanıcı kimliklerini URL’lere gömmek, bir web sitesinin bir kullanıcının zaten oturum açmış olduğunu fark etmesine izin verebilir, bu da oturum açma sayfasını atlayıp doğrudan içeriğe gidebilecekleri anlamına gelir.
Ayrıca, farklı alan adlarına sahip web sitelerine sahip bir şirketin kullanıcı trafiğini izlemek için kullanabileceği bir araçtır. Aynı zamanda, bağlı kuruluş reklamverenlerinin trafiği izlemesi ve ödeme alması için bir araçtır. Örneğin, bağlı kuruluş bağlantılarını kullanarak bir ürünün reklamını yapan bir blog yazarına, herhangi birinin bağlantılarına tıklayıp ardından bir satın alma işlemi gerçekleştirmesi durumunda komisyon ödenebilir. UID kaçakçılığı, hangi blog yazarının komisyon alması gerektiğini belirleyebilir.
Ancak araştırmacıların endişe duyduğu potansiyel olarak daha tehlikeli kullanımlar var. Örneğin, bir veri komisyoncusu, kullanıcıların İnternet gezintisine ilişkin bir veritabanı toplamak için UID kaçakçılığını kullanabilir.
Araştırmacılar ayrıca, çeşitli navigasyonlar için UID kaçakçılığını manuel olarak engelledikleri küçük bir alıştırma yaptılar. Bunun web sitesi işlevselliği üzerinde çok az bir etkisi olduğunu gördüler. Sonraki adımlar, UID’leri engellemek için bir araç oluşturmayı içerebilir. Ancak araştırmacılar, bunun muhtemelen devam eden bir kedi-fare oyununda başka bir adım olacağı konusunda uyarıyorlar.
İlk yazar Randall, “Ne yaparsak yapalım, reklam endüstrisinin kullanıcı gizliliğini korurken kârlı kalmasına olanak tanıyan bir çözüm bulamazsak oyun sona ermeyecek” dedi.
Kaynak:
https://www.helpnetsecurity.com/2022/12/19/uid-smuggling-tracking-users-online/