कुछ वेबसाइटें आपके डेटा को सबमिट करने से पहले ही लीक कर सकती हैं

May 20, 2022
मेंअनेक वस्तुओं का संग्रह

click fraud protection

शोधकर्ताओं ने उपयोगकर्ताओं द्वारा सबमिट बटन दबाए जाने से पहले ही हजारों शीर्ष वेबसाइटों को फ़ॉर्म डेटा कैप्चर और साझा करने का पाया।
संग्रह हमेशा विज्ञापन उद्देश्यों के लिए नहीं होता है, गोपनीयता विशेषज्ञों का सुझाव है।
कई वेबसाइटों का स्वामित्व है और गलतियों को सुधारा है, लेकिन कई अभी भी नियमों की अवहेलना करते हैं।

कंप्यूटर स्क्रीन में घुलने वाले व्यक्ति का पिक्सेलयुक्त हाथ। — डोनाल्ड इयान स्मिथ / गेट्टी छवियां

आपकी जानकारी एकत्र करने और साझा करने में वेबसाइटें अधिक कुशल होती जा रही हैं।

एक व्यापक अध्ययन शीर्ष 100,000 वेबसाइटों में से पता चला है कि लोगों द्वारा सबमिट बटन दबाने से पहले ही लोगों द्वारा साइट में दर्ज की गई कई लीक जानकारी तीसरे पक्ष के ट्रैकर्स को भेज दी जाती है। इसमें ऐसी हजारों वेबसाइटें मिलीं, जिन्होंने ईमेल पते से लेकर पासवर्ड तक सब कुछ लीक कर दिया, हालांकि शुक्र है कि शोधकर्ताओं ने उनसे संपर्क करने के बाद कई मुद्दों को ठीक कर दिया।

"वेबसाइटों को पासवर्ड लीक करते देखना चिंताजनक है," रिक मैकलेरॉय, प्रधान साइबर सुरक्षा रणनीतिकार VMwareने लाइफवायर को ईमेल पर बताया, शोध पर प्रतिक्रिया व्यक्त करते हुए। "मुझे यह देखकर खुशी हुई कि एक बार अधिसूचित होने के बाद, संगठनों ने उस प्रथा को रोकने के लिए अपने कोड में बदलाव किए।"

लीक में दर्ज करें

यह अध्ययन यह निर्धारित करने के लिए किया गया था कि क्या ऑनलाइन ट्रैकर वेब फॉर्म तक पहुंच का दुरुपयोग करते हैं। शोधकर्ता एक की ओर इशारा करते हैं सर्वे जहां 81% उत्तरदाताओं ने किसी समय ऑनलाइन फॉर्म छोड़ने की बात स्वीकार की।

शोधकर्ताओं ने कहा, "हमारा मानना है कि फ़ॉर्म सबमिट करने से पहले ट्रैकिंग उद्देश्यों के लिए वेब फ़ॉर्म से व्यक्तिगत डेटा एकत्र करना उपयोगकर्ताओं की अपेक्षाओं के विरुद्ध है।" "हम इस व्यवहार को इसकी व्यापकता का आकलन करने के लिए मापना चाहते थे।"

कोई घर के कंप्यूटर पर फ़ॉर्म भर रहा है. — प्रसिट फोटो / गेट्टी छवियां

कुल मिलाकर, उन्होंने दुनिया की सर्वोच्च रैंकिंग वाली साइटों पर 2.8 मिलियन पृष्ठों का परीक्षण किया। इनमें से, 1,844 वेबसाइटों ने ट्रैकर्स को यूरोप से आने पर सबमिट करने से पहले ईमेल पतों को बाहर निकालने की अनुमति दी। जब अमेरिका से दौरा किया गया, तो जमा करने से पहले जानकारी एकत्र करने वाली साइटों की संख्या बढ़कर 2,950 हो गई।

शोधकर्ताओं ने ध्यान दिया कि कुछ मामलों में डेटा लीक स्पष्ट रूप से अनजाने में हुआ था, 52 वेबसाइटों पर आकस्मिक पासवर्ड संग्रह को अध्ययन के निष्कर्षों के लिए धन्यवाद दिया गया था।

"कुछ वेबसाइटों ने हमें बताया कि वे इस डेटा संग्रह से अवगत नहीं थे और हमारे खुलासे पर इस मुद्दे को ठीक कर दिया," शोधकर्ताओं ने लिखा, जो आगामी में अपने निष्कर्ष पेश करेंगे USENIX सुरक्षा संगोष्ठी, बोस्टन, मैसाचुसेट्स में।

सुरक्षित रहें

क्रिस हौकी, उपभोक्ता गोपनीयता चैंपियन at पिक्सेल गोपनीयताने कहा कि जब वेबसाइटों से डेटा लीक हो रहा है, तो कुछ चीजें हैं जो लोग अपने स्तर पर कम से कम डेटा लीक को धीमा करने के लिए कर सकते हैं।

"उपयोगकर्ता इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन की यात्रा कर सकते हैं अपने रास्तों की सुरक्षा वेबसाइट यह निर्धारित करने के लिए कि वेबसाइट ट्रैकर्स आपके ब्राउज़र को कैसे देखते हैं, यह बताते हुए कि साइट आपको कैसे ट्रैक कर सकती है ऑनलाइन, और आप इसे कम से कम आंशिक रूप से रोकने के लिए क्या कर सकते हैं," हॉक ने ईमेल पर लाइफवायर को सुझाव दिया।

"व्यक्तिगत डेटा और उसका मूल्य पिछले 20+ वर्षों से कई आधुनिक डिजिटल उद्यमों के लिए व्यवसाय मॉडल बनाता है ..."

अपने ऑनलाइन ट्रैक को कवर करने के लिए वीपीएन का उपयोग करने की सामान्य सलाह इस तरह के रिसाव को रोकने के लिए बहुत काम की नहीं होगी। हॉक ऐसी जानकारी मांगने वाली वेबसाइटों पर उपयोग के लिए आपके सामान्य व्यक्तिगत ईमेल खाते से अलग एक डिस्पोजेबल ईमेल पते का उपयोग करने का सुझाव देता है।

McElroy ने लोगों से कहा कि वे या तो गोपनीयता के लिए बनाए गए वेब ब्राउज़र का उपयोग करें जैसे कि Brave, या गोपनीयता ऐड-ऑन स्थापित करने के लिए, जैसे कि गोपनीयता बेजर, उनके नियमित ब्राउज़र पर। उन्होंने पासवर्ड लीक के नुकसान को कम करने के लिए बहु-कारक प्रमाणीकरण की भी वकालत की।

इसके अतिरिक्त, शोधकर्ताओं ने एक प्रूफ-ऑफ-कॉन्सेप्ट ब्राउज़र ऐड-ऑन विकसित किया है जिसे कहा जाता है लीक इंस्पेक्टर जो डेटा एक्सफ़िल्टरेशन से चेतावनी देता है और सुरक्षा करता है।

डेटा अर्थव्यवस्था

संग्रह की सीमा पर आश्चर्य व्यक्त करते हुए, McElroy ने कहा कि लोगों को इसे समझना चाहिए मानव-जनित डेटा एक कमोडिटी है जिसे एकत्र, साझा, विश्लेषण और कई के लिए उपयोग किया जाएगा उद्देश्य।

"ज्यादातर समय ये उद्देश्य दुर्भावनापूर्ण नहीं होते (जैसे किसी तृतीय-पक्ष विज्ञापनदाता के साथ डेटा साझा करना) हालांकि बीच और बीच प्रवाह सुरक्षा के विभिन्न स्तरों वाली प्रणालियाँ सभी उपभोक्ताओं को असुरक्षित बनाती हैं और हमलावरों के लाभ लेने के लिए एक परिपक्व परिदृश्य बनाती हैं," समझाया मैकलेरॉय।

डेविड रिकार्ड, सीटीओ उत्तरी अमेरिका पर सिफ़र, एक प्रोसेगुर कंपनी, सोचती है कि लोगों को यह मान लेना चाहिए कि वे इंटरनेट पर जो भी फॉर्म भरते हैं वह डेटा की बचत कर रहा है जबकि डेटा प्रविष्टि चल रही है, और उनके द्वारा भरा गया प्रत्येक फॉर्म वेबसाइट की संपत्ति बन जाता है और फिर से बेचा जाता है तीसरे पक्ष।

"व्यक्तिगत डेटा और उसका मूल्य पिछले 20+ वर्षों के लिए कई आधुनिक डिजिटल उद्यमों के लिए व्यवसाय मॉडल बनाते हैं, भले ही उनकी गोपनीयता हो नीतियां स्पष्ट रूप से बताती हैं कि वे पीआईआई [व्यक्तिगत रूप से पहचान योग्य जानकारी] इकट्ठा नहीं करते हैं और इसे बेचते हैं," रिकार्ड ने लाइफवायर को बताया ईमेल।

उन्होंने कहा कि डेटा एग्रीगेटर कई अलग-अलग डेटासेट एकत्र करके गोपनीयता नियमों के आसपास काम करते हैं जिनमें नाम, पता आदि शामिल नहीं हो सकते हैं, जो ऐसे पीआईआई नहीं हैं, लेकिन जब अन्य डेटासेट से सैकड़ों अतिरिक्त डेटा बिंदुओं के साथ मिलान किया जाता है, तो सफलता दर वाले व्यक्तियों की पहचान कर सकते हैं 90% से अधिक।

"यह उन सेवाओं को जन्म देता है जो बीमांकिक तालिकाओं (या वास्तव में बीमांकिक तालिकाएं मानी जाती हैं) जैसी कुछ हैं जो क्रेडिट का संकेत देती हैं योग्यता, बीमा योग्यता, रोजगार योग्यता, विभिन्न व्यसनों की संभावना, संभावित राजनीतिक और धार्मिक संबद्धता, आप इसे नाम दें," कहा हुआ रिकार्ड।