Beberapa Situs Web Dapat Membocorkan Data Anda Bahkan Sebelum Anda Menyerahkannya
- Para peneliti menemukan ribuan situs web teratas menangkap dan membagikan data formulir bahkan sebelum pengguna menekan tombol Kirim.
- Koleksinya tidak selalu untuk tujuan periklanan, saran pakar privasi.
- Banyak situs web yang memiliki dan memperbaiki kesalahan, tetapi beberapa masih melanggar aturan.
Donald Ian Smith / Getty Images
Situs web semakin terampil dalam mengumpulkan dan membagikan informasi Anda.
Sebuah studi ekstensif ke dalam 100.000 situs teratas mengungkapkan bahwa banyak informasi bocor yang dimasukkan orang ke dalam formulir situs ke pelacak pihak ketiga bahkan sebelum orang menekan tombol kirim. Ia menemukan ribuan situs web semacam itu yang membocorkan semuanya mulai dari alamat email hingga kata sandi, meskipun untungnya, banyak yang memperbaiki masalah setelah para peneliti menghubungi mereka.
"Sangat memprihatinkan melihat situs web membocorkan kata sandi," Rick McElroy, Ahli Strategi Keamanan Siber Utama di VMware, mengatakan kepada Lifewire melalui email, bereaksi terhadap penelitian tersebut. "Saya senang melihat bahwa setelah diberi tahu, organisasi membuat perubahan pada kode mereka untuk menghentikan praktik itu."
Masuk ke Leak
Studi ini dilakukan untuk menentukan apakah pelacak online menyalahgunakan akses ke formulir web. Para peneliti menunjuk ke survei di mana 81% responden mengaku meninggalkan formulir online di beberapa titik.
"Kami percaya sangat bertentangan dengan harapan pengguna untuk mengumpulkan data pribadi dari formulir web untuk tujuan pelacakan sebelum mengirimkan formulir," catat para peneliti. "Kami ingin mengukur perilaku ini untuk menilai prevalensinya."
Foto Prasit / Getty Images
Secara keseluruhan, mereka menguji 2,8 juta halaman di situs dengan peringkat tertinggi di dunia. Dari jumlah tersebut, 1.844 situs web memungkinkan pelacak untuk mengekstrak alamat email sebelum pengiriman, ketika dikunjungi dari Eropa. Saat dikunjungi dari AS, jumlah situs yang mengumpulkan informasi sebelum diserahkan meningkat menjadi 2.950.
Para peneliti mencatat bahwa kebocoran data tampaknya tidak disengaja dalam beberapa kasus, dengan pengumpulan kata sandi insidental di 52 situs web diselesaikan berkat temuan penelitian.
"Beberapa situs web memberi tahu kami bahwa mereka tidak mengetahui pengumpulan data ini dan memperbaiki masalah ini setelah pengungkapan kami," tulis para peneliti, yang akan mempresentasikan temuan mereka pada pertemuan mendatang. Simposium Keamanan USENIX, di Boston, Massachusetts.
Jaga keselamatan
Chris Hauk, juara privasi konsumen di Privasi Piksel, mengatakan bahwa meskipun kebocoran data berasal dari situs web, ada beberapa hal yang dapat dilakukan orang untuk setidaknya memperlambat kebocoran data.
"Pengguna dapat mengunjungi Electronic Frontier Foundation Tutupi Jejak Anda situs web untuk menentukan bagaimana pelacak situs web melihat browser Anda, mengungkapkan bagaimana situs dapat melacak Anda saat online, dan apa yang dapat Anda lakukan untuk mencegahnya setidaknya sebagian,” saran Hauk kepada Lifewire melalui email.
"Data pribadi dan nilainya membentuk model bisnis bagi banyak perusahaan digital modern selama lebih dari 20 tahun terakhir..."
Saran umum untuk menggunakan VPN untuk menutupi trek online Anda tidak akan banyak berguna untuk mencegah kebocoran semacam ini. Hauk menyarankan untuk menggunakan alamat email sekali pakai, terpisah dari akun email pribadi Anda yang biasa, untuk digunakan di situs web yang meminta informasi tersebut.
McElroy meminta orang untuk menggunakan browser web yang dibuat untuk privasi seperti Brave, atau memasang add-on privasi, seperti Privasi Badger, di browser biasa mereka. Dia juga menganjurkan otentikasi multi-faktor untuk meminimalkan kerusakan kebocoran kata sandi.
Selain itu, para peneliti telah mengembangkan add-on browser proof-of-concept yang disebut Inspektur Kebocoran yang memperingatkan dan melindungi terhadap eksfiltrasi data.
Ekonomi Data
Mengekspresikan keterkejutannya pada tingkat koleksi, McElroy mengatakan orang harus mengerti itu data yang dihasilkan manusia adalah komoditas yang akan dikumpulkan, dibagikan, dianalisis, dan digunakan untuk banyak hal tujuan.
"Seringkali tujuan ini tidak selalu berbahaya (seperti berbagi data dengan pengiklan pihak ketiga) namun aliran antara dan di antara sistem dengan berbagai tingkat keamanan membuat semua konsumen rentan dan menciptakan lanskap matang untuk dimanfaatkan penyerang," jelas McElroy.
David Rickard, CTO Amerika Utara di Sandi, sebuah perusahaan Prosegur, berpikir bahwa orang harus menganggap bahwa setiap formulir yang mereka isi di internet adalah menyimpan data saat entri data sedang berlangsung, dan setiap formulir yang mereka isi menjadi milik situs web dan dijual kembali ke Pihak ketiga.
"Data pribadi dan nilainya membentuk model bisnis bagi banyak perusahaan digital modern selama lebih dari 20 tahun terakhir, bahkan jika privasi mereka kebijakan secara eksplisit menyatakan bahwa mereka tidak mengumpulkan PII [Informasi Identifikasi Pribadi] dan menjualnya," kata Rickard kepada Lifewire melalui surel.
Dia mengatakan agregator data bekerja di sekitar peraturan privasi dengan mengumpulkan beberapa kumpulan data berbeda yang mungkin tidak menyertakan nama, alamat, dll., yang bukan PII seperti itu, tetapi ketika dicocokkan dengan ratusan titik data tambahan dari kumpulan data lain, dapat mengidentifikasi individu dengan tingkat keberhasilan lebih dari 90%.
"Hal ini menimbulkan layanan yang seperti tabel aktuaria (atau diyakini benar-benar tabel aktuaria) yang menunjukkan kredit kelayakan, asuransi, kelayakan kerja, kemungkinan kecanduan yang berbeda, kemungkinan afiliasi politik dan agama, sebut saja, "kata Rickard.