Některé webové stránky mohou uniknout vaše data ještě předtím, než je odešlete
- Výzkumníci zjistili, že tisíce nejlepších webových stránek zachycují a sdílejí data formulářů ještě předtím, než uživatelé stiskli tlačítko Odeslat.
- Sbírka není vždy určena pro reklamní účely, navrhují odborníci na ochranu soukromí.
- Mnoho webových stránek chyby vlastnilo a opravilo, ale některé stále porušují pravidla.
Donald Ian Smith / Getty Images
Webové stránky jsou stále šikovnější ve shromažďování a sdílení vašich informací.
An rozsáhlé studium mezi 100 000 nejlepšími weby odhalilo, že mnoho informací, které lidé zadali do formulářů stránek, uniklo sledovacím zařízením třetích stran ještě předtím, než lidé vůbec stiskli tlačítko Odeslat. Našel tisíce takových webových stránek, které unikly vše od e-mailových adres po hesla, i když naštěstí mnohé problémy vyřešily, jakmile je výzkumníci kontaktovali.
"Je znepokojivé vidět, jak weby prosakují hesla," Rick McElroy, hlavní stratég kybernetické bezpečnosti ve společnosti VMware, řekl Lifewire e-mailem v reakci na výzkum. "Jsem rád, že po oznámení organizace provedly změny ve svém kódu, aby tuto praxi zastavily."
Vstupte do úniku
Studie byla provedena s cílem zjistit, zda online trackery nezneužívají přístup k webovým formulářům. Výzkumníci poukazují na a průzkum kde 81 % respondentů přiznalo, že v určitém okamžiku opustili online formuláře.
"Věříme, že je silně proti očekávání uživatelů shromažďovat osobní údaje z webových formulářů pro účely sledování před odesláním formuláře," poznamenali výzkumníci. "Chtěli jsme změřit toto chování, abychom posoudili jeho prevalenci."
Prasit Photo / Getty Images
Celkem otestovali 2,8 milionu stránek na stránkách s nejvyšším hodnocením světa. Z toho 1 844 webových stránek umožnilo sledovačům exfiltrovat e-mailové adresy před odesláním při návštěvě z Evropy. Při návštěvě z USA se počet stránek shromažďujících informace před odesláním zvýšil na 2 950.
Výzkumníci poznamenávají, že úniky dat byly v některých případech zjevně neúmyslné, přičemž náhodné shromažďování hesel na 52 webových stránkách bylo vyřešeno díky zjištěním studie.
"Některé webové stránky nám řekly, že si nejsou vědomy tohoto sběru dat, a po našem zveřejnění problém napravily," napsali vědci, kteří svá zjištění představí na nadcházejícím USENIX Security Symposium, v Bostonu, Massachusetts.
Zůstat v bezpečí
Chris Hauk, vítěz ochrany soukromí spotřebitelů ve společnosti Ochrana osobních údajů pro Pixel, řekl, že zatímco úniky dat pocházejí z webových stránek, existuje několik věcí, které mohou lidé na svém konci udělat, aby úniky dat alespoň zpomalili.
"Uživatelé mohou navštívit Electronic Frontier Foundation's Zakryjte své stopy webové stránky, abyste zjistili, jak sledovače webových stránek vidí váš prohlížeč a odhalují, jak vás stránky mohou sledovat online a co můžete udělat, abyste tomu alespoň částečně zabránili,“ navrhl Hauk Lifewire e-mailem.
"Osobní data a jejich hodnota tvoří obchodní model mnoha moderních digitálních podniků za posledních 20 let..."
Obvyklá rada použití VPN k pokrytí vašich online stop nebude příliš užitečná, aby se zabránilo tomuto druhu úniku. Hauk navrhuje používat jednorázovou e-mailovou adresu, oddělenou od vašeho obvyklého osobního e-mailového účtu, pro použití na webových stránkách, které takové informace požadují.
McElroy požádal lidi, aby buď používali webový prohlížeč vytvořený pro ochranu osobních údajů, jako je Brave, nebo aby si nainstalovali doplňky ochrany osobních údajů, jako je Ochrana osobních údajů Badgerve svém běžném prohlížeči. Prosazoval také vícefaktorovou autentizaci, aby se minimalizovalo poškození způsobené únikem hesel.
Kromě toho výzkumníci vyvinuli doplněk prohlížeče s názvem proof-of-concept Inspektor úniku který varuje a chrání před exfiltrací dat.
Datová ekonomika
McElroy vyjádřil své překvapení nad rozsahem sbírky a řekl, že to lidé musí pochopit data vytvořená lidmi jsou komoditou, která bude shromažďována, sdílena, analyzována a používána pro více účely.
„Většinou tyto účely nemusí být nutně škodlivé (jako je sdílení dat s inzerentem třetí strany), nicméně tok mezi systémy s různou úrovní zabezpečení činí všechny spotřebitele zranitelnými a vytváří zralé prostředí, které mohou útočníci využít,“ vysvětlil McElroy.
David Rickard, CTO North America at Šifra, společnost Prosegur, si myslí, že lidé by měli předpokládat, že každý formulář, který vyplní na internetu, šetří data zatímco probíhá zadávání dat a každý formulář, který vyplní, se stává majetkem webové stránky a je znovu prodán třetí strany.
„Osobní data a jejich hodnota tvoří obchodní model mnoha moderních digitálních podniků za posledních 20+ let, i když jejich soukromí zásady výslovně uvádějí, že neshromažďují PII [Personally Identifiable Information] a neprodávají je,“ řekl Rickard Lifewire. e-mailem.
Řekl, že agregátory dat obcházejí předpisy o ochraně soukromí tím, že shromažďují několik různých datových sad, které nemusí obsahovat jméno, adresu atd. nejsou PII jako takové, ale při porovnání se stovkami dalších datových bodů z jiných datových sad mohou identifikovat jednotlivce s úspěšností přes 90 %.
„Z toho vznikají služby, které jsou něco jako pojistně-matematické tabulky (nebo se o nich předpokládá, že jsou ve skutečnosti pojistně-matematickými tabulkami) indikující úvěr způsobilost, pojistitelnost, zaměstnatelnost, pravděpodobnost různých závislostí, pravděpodobná politická a náboženská příslušnost, co si jen vzpomenete,“ řekl Rickarde.