Ваши данные уходят с полей формы: как сайты страховок торгуют информацией

Сайты по привлечению клиентов, предлагающие расценки на медицинское страхование, собирают конфиденциальные личные данные и продают их множеству покупателей в течение секунд после нажатия пользователем кнопки отправки. Исследователи из Калифорнийского университета в Дэвисе, Стэнфордского университета и Маастрихтского университета изучили этот процесс на 105 подобных сайтах и отслеживали судьбу данных в течение 60 дней.

Исследователи создали 210 синтетических профилей пользователей, каждый с уникальным номером телефона и адресом электронной почты, и отправили формы на всех 105 сайтах. Затем они отслеживали все входящие звонки, текстовые сообщения и электронные письма, полученные этими профилями.

Данные покидают сайт до отправки формы

Сторонние скрипты, встроенные в большинство сайтов, перехватывают ввод в поля формы в реальном времени, нажатие за нажатием, с помощью прослушивателей событий JavaScript. Два поставщика услуг встречались чаще всего, и оба получали имена, номера телефонов, адреса электронной почты и данные о состоянии здоровья ещё до того, как пользователь нажимал кнопку отправки. Пользователь, который покидает частично заполненную форму, всё равно передаёт свои данные этим поставщикам.

Отдельный канал утечки данных связан с плохим дизайном форм. На семидесяти процентах сайтов отправленная личная информация напрямую добавлялась к URL-адресам страниц. Когда на этих страницах загружаются скрипты отслеживания от рекламных сетей и аналитических сервисов, личная информация передаётся вместе с ними через заголовки реферера.

В общей сложности с 105 сайтов личная информация попала к 73 различным третьим сторонам.

Покупка данных потребителей не требует проверки

Исследователи зарегистрировались в качестве покупателей на трёх платформах по продаже данных, представляющих разные роли в этой экосистеме: прямой генератор данных, агрегатор и биржа данных, а также брокер, специализирующийся на устаревших данных. Ни одна из трёх платформ не потребовала документов, подтверждающих законность бизнес-целей, наличие отраслевых лицензий или предполагаемое использование данных, даже когда записи включали медицинские диагнозы, статус беременности и информацию о рецептах.

В купленных записях часто содержались вымышленные или стандартные значения. Прямой генератор данных продавал поля роста и веса для всех записей, несмотря на то что никогда не собирал эти данные в своей собственной форме. Около 80% его записей содержали одинаковые значения: 65 дюймов и 175 фунтов. Брокер устаревших данных присвоил одинаковый рост, вес и семейное положение всем 200 записям, купленным в ходе исследования.

Исследователи отметили это как риск для последующего принятия решений, поскольку страховые андеррайтеры могут использовать такие атрибуты для расчёта премий или оценки рисков.

Один из исследователей использовал функцию таргетинга по почтовым индексам на сайте-генераторе лидов, чтобы в реальном времени приобрести данные своего тестового профиля за четыре доллара.

Звонки начинаются в течение минут

В ходе основного исследования, охватившего 105 синтетических профилей, было зафиксировано 8 214 входящих звонков с 1 240 различных номеров телефонов. Семьдесят восемь процентов профилей получили как минимум один звонок. Половина всех первых звонков поступила в течение двух минут после отправки формы, а четыре пятых — в течение 24 минут.

Более 80% звонков исходили из VoIP-инфраструктуры. На традиционных мобильных операторов пришлось менее 16 звонков каждый за весь период исследования.

Анализ определителя номера показал, что в 59% случаев использовался код города, совпадающий с кодом получателя — техника, известная как «спуфинг соседа», призванная повысить вероятность ответа. Некоторые профили получали звонки с номеров, совпадающих по первым шести или восьми цифрам с их собственными.

Отдельные профили получили до 1 676 звонков за 60 дней — это самый высокий показатель, зафиксированный для одного профиля в ходе исследования. Отдельно стоит отметить, что на одном профиле за 60 дней накопилось 251 минута общего времени звонков, что достаточно, чтобы сделать телефон непригодным для использования в периоды активных вызовов. Во Флориде 22% пар «звонящий-получатель» превысили установленный в штате лимит в три звонка за 24 часа для телемаркетинга.

Только 14% SMS-сообщений, отправленных на профили исследования, содержали информацию об отказе от рассылки — требование, которое вступит в силу согласно обновлённым правилам FCC в апреле 2026 года.

Отказ от рассылки снижает объём, но не прекращает контакты

Исследователи разделили профили на три группы: отказ по телефону, отказ по электронной почте и контрольная группа без отказа. Отказ по телефону привёл к статистически значимому снижению количества звонков со временем. В группах с отказом по email и в контрольной группе не наблюдалось значимой тенденции по звонкам, хотя отказ по email привёл к умеренному снижению объёма SMS.

Отказы от электронной почты демонстрировали схожую картину. Объём рассылок несколько снижался после запросов на отказ, однако в контрольной группе наблюдалось сопоставимое падение, что указывает на естественное "старение" лидов, а не на соблюдение требований. Письма продолжали поступать спустя более 10 дней после запроса на отказ, что является нарушением 10-дневного срока прекращения рассылок, установленного законом CAN-SPAM.

Исследователи объяснили сохранение контактов самой структурой рынка лидов. После продажи лид может быть перепродан новым покупателям, которые не видят сигналов об отказе, сгенерированных ранее. Звонящие использовали новые номера после блокировок, что делало блокировку на уровне номера неэффективной.

Анализ 7 432 жалоб в BBB, связанных с изучаемыми сайтами, подтвердил экспериментальные данные. В двадцати процентах обращений потребители сообщали о более чем 14 звонках в час. В жалобах часто упоминались продолжающиеся контакты после регистрации в списке "Не звонить", повторные устные просьбы прекратить звонки и неработающие ссылки для отписки.

Скачать: Отчёт Tines Voice of Security 2026