Nogle websteder kan lække dine data, selv før du indsender dem
- Forskere fandt tusindvis af de bedste websteder, der fanger og deler formulardata, selv før brugerne trykkede på knappen Send.
- Samlingen er ikke altid til reklameformål, foreslår privatlivseksperter.
- Mange hjemmesider ejede og rettede fejlene, men flere trodser stadig reglerne.
Donald Ian Smith / Getty Images
Websites bliver mere smarte til at indsamle og dele dine oplysninger.
An omfattende undersøgelse ind på top 100.000 websteder afslørede, at mange lækkede oplysninger, som folk indtastede i webstedsformularerne, til tredjeparts-trackere, før folk overhovedet trykkede på send-knappen. Den fandt tusindvis af sådanne websteder, der lækkede alt fra e-mail-adresser til adgangskoder, selvom mange heldigvis fik løst problemerne, når forskerne kontaktede dem.
"Det er bekymrende at se hjemmesider lække adgangskoder," Rick McElroy, Principal Cybersecurity Strategist at VMware, fortalte Lifewire over e-mail og reagerede på undersøgelsen. "Jeg er glad for at se, at organisationerne, når de blev underrettet, foretog ændringer i deres kodeks for at stoppe denne praksis."
Gå ind til læk
Undersøgelsen blev udført for at afgøre, om online-trackere misbruger adgang til webformularer. Forskerne peger på en undersøgelse hvor 81 % af de adspurgte indrømmede at have opgivet onlineformularer på et tidspunkt.
"Vi mener, at det er stærkt imod brugernes forventninger at indsamle personlige data fra webformularer til sporingsformål før indsendelse af en formular," bemærkede forskerne. "Vi ønskede at måle denne adfærd for at vurdere dens udbredelse."
Prasit Photo / Getty Images
I alt testede de 2,8 millioner sider på verdens højest rangerende sider. Af disse tillod 1.844 websteder trackere at eksfiltrere e-mail-adresser før indsendelse, når de blev besøgt fra Europa. Ved besøg fra USA steg antallet af websteder, der indsamlede oplysninger før indsendelse, til 2.950.
Forskerne bemærker, at datalækagen tilsyneladende var utilsigtet i nogle tilfælde, hvor tilfældig adgangskodeindsamling på 52 websteder blev løst takket være undersøgelsens resultater.
"Nogle websteder fortalte os, at de ikke var klar over denne dataindsamling og rettede op på problemet efter vores afsløringer," skrev forskerne, som vil præsentere deres resultater ved det kommende USENIX Sikkerhedssymposium, i Boston, Massachusetts.
Pas på dig selv
Chris Hauk, forbrugernes privatlivsmester kl Pixel Privatliv, sagde, at mens datalækkene kommer fra webstederne, er der et par ting, folk kan gøre for i det mindste at bremse datalækagen.
"Brugere kan besøge Electronic Frontier Foundation's Dæk dine spor websted for at bestemme, hvordan webstedssporere ser din browser, og afslører, hvordan websteder kan spore dig, mens de er online, og hvad du kan gøre for i det mindste delvist at forhindre det,” foreslog Hauk til Lifewire via e-mail.
"Personlige data og deres værdi danner forretningsmodellen for mange moderne digitale virksomheder gennem de sidste 20+ år..."
Det sædvanlige råd om at bruge en VPN til at dække dine online spor vil ikke være til megen nytte for at forhindre denne form for lækage. Hauk foreslår at bruge en engangs-e-mail-adresse, adskilt fra din sædvanlige personlige e-mail-konto, til brug på websteder, der beder om sådanne oplysninger.
McElroy bad folk om enten at bruge en webbrowser, der er bygget til privatlivets fred som Brave, eller at installere tilføjelser til privatliv, som f.eks. Privacy Badger, i deres almindelige browser. Han slog også til lyd for multi-faktor autentificering for at minimere skaden af adgangskodelækager.
Derudover har forskerne udviklet en proof-of-concept browser-tilføjelse kaldet Lækageinspektør der advarer og beskytter mod dataeksfiltrering.
Dataøkonomi
McElroy udtrykte sin overraskelse over omfanget af samlingen og sagde, at folk må forstå det menneskeskabte data er en vare, der vil blive indsamlet, delt, analyseret og brugt til flere formål.
"Det meste af tiden er disse formål ikke nødvendigvis ondsindede (som at dele data med en tredjepartsannoncør), men strømmen mellem og mellem systemer med forskellige sikkerhedsniveauer gør alle forbrugere sårbare og skaber et modent landskab, som angribere kan drage fordel af," forklarede McElroy.
David Rickard, CTO Nordamerika kl Cipher, en Prosegur-virksomhed, mener, at folk bør antage, at hver formular, de udfylder på internettet, gemmer data mens dataindtastning er i gang, og hver formular, de udfylder, bliver webstedets ejendom og videresælges til tredje partier.
"Personlige data og deres værdi danner forretningsmodellen for mange moderne digitale virksomheder i de sidste 20+ år, selvom deres privatliv Politikker siger eksplicit, at de ikke indsamler PII [Personlig identificerbar information] og sælger det," sagde Rickard til Lifewire over e-mail.
Han sagde, at dataaggregatorer arbejder uden om privatlivsbestemmelser ved at indsamle flere forskellige datasæt, der muligvis ikke inkluderer navn, adresse osv., som er ikke PII som sådan, men når de matches mod hundredvis af yderligere datapunkter fra andre datasæt, kan de identificere personer med en succesrate på over 90 %.
"Dette giver anledning til tjenester, der er noget som aktuarmæssige tabeller (eller menes at være aktuarmæssige tabeller), der angiver kredit værdighed, forsikringsevne, beskæftigelsesegnethed, sandsynlighed for forskellige afhængigheder, sandsynlige politiske og religiøse tilhørsforhold, you name it," sagde Rickard.