閉じる
メニュー

一部のWebサイトでは、送信する前でもデータが漏洩する可能性があります

click fraud protection
  • 研究者は、ユーザーが[送信]ボタンを押す前でさえ、何千ものトップWebサイトがフォームデータをキャプチャして共有していることを発見しました。
  • コレクションは必ずしも広告目的ではありません、プライバシーの専門家を提案します。
  • 多くのウェブサイトが間違いを所有して修正しましたが、いくつかはまだルールに反しています。
コンピューターの画面に溶け込んでいる人のピクセル化された手。

ドナルドイアンスミス/ゲッティイメージズ

ウェブサイトはあなたの情報を収集し共有することでより巧妙になっています。

アン 広範な研究 上位10万のWebサイトに入ると、送信ボタンを押す前に、サイトフォームに入力された多くの情報がサードパーティのトラッカーに漏洩したことが明らかになりました。 メールアドレスからパスワードまですべてを漏らしているそのようなウェブサイトを何千も見つけましたが、ありがたいことに、研究者がそれらに連絡すると、多くのウェブサイトが問題を修正しました。

「ウェブサイトがパスワードを漏らしているのを見るのは心配だ」 リック・マッケルロイ、プリンシパルサイバーセキュリティストラテジスト VMware、調査に反応して、電子メールでLifewireに語った。 「通知を受けた後、組織がその慣行をやめるためにコードに変更を加えたことをうれしく思います。」

リークに入る

この調査は、オンライントラッカーがWebフォームへのアクセスを悪用しているかどうかを判断するために実施されました。 研究者は 調査 回答者の81%は、ある時点でオンラインフォームを放棄することを認めました。

「フォームを送信する前に追跡目的でWebフォームから個人データを収集することは、ユーザーの期待に大きく反すると考えています」と研究者は述べています。 「この行動を測定して、その有病率を評価したかったのです。」

自宅のコンピューターでフォームに記入する人。

プラシット写真/ゲッティイメージズ

全部で、彼らは世界の最高ランクのサイトで280万ページをテストしました。 これらのうち、1,844のWebサイトでは、追跡者がヨーロッパから訪問したときに、送信前に電子メールアドレスを盗み出すことができました。 米国から訪問した場合、提出前に情報を収集するサイトの数は2,950に増加しました。

研究者は、データ漏えいは明らかに意図的ではなく、調査結果のおかげで52のWebサイトでの偶発的なパスワード収集が解決されたことに注目しています。

「いくつかのウェブサイトは、彼らがこのデータ収集に気づいておらず、私たちの開示に基づいて問題を修正したと私たちに言った」と研究者は書いた。 USENIXセキュリティシンポジウム、マサチューセッツ州ボストン。

おげんきで

クリスハウク、消費者プライバシーチャンピオン ピクセルプライバシーは、データ漏えいがWebサイトから発生している間、少なくともデータ漏えいを遅らせるために人々が自分の側でできることがいくつかあると述べました。

「ユーザーは電子フロンティア財団にアクセスできます あなたのトラックをカバーする ウェブサイトトラッカーがあなたのブラウザをどのように見るかを決定するためのウェブサイト、サイトがあなたを追跡する方法を明らかにする オンラインで、そしてそれを少なくとも部分的に防ぐためにあなたができること」とハウクは電子メールでライフワイヤーに提案した。

「個人データとその価値は、過去20年以上にわたって多くの現代のデジタル企業のビジネスモデルを形成しています...」

VPNを使用してオンライントラックをカバーするという通常のアドバイスは、この種のリークを防ぐのにあまり役立ちません。 Haukは、このような情報を要求するWebサイトで使用するために、通常の個人用電子メールアカウントとは別の使い捨ての電子メールアドレスを使用することをお勧めします。

McElroyは、Braveのようなプライバシーのために構築されたWebブラウザーを使用するか、次のようなプライバシーアドオンをインストールするように人々に求めました。 プライバシーバッジ、通常のブラウザで。 彼はまた、パスワード漏洩の被害を最小限に抑えるために多要素認証を提唱しました。

さらに、研究者は、と呼ばれる概念実証ブラウザアドオンを開発しました リークインスペクター 警告し、データの漏えいから保護します。

データエコノミー

コレクションの範囲で彼の驚きを表現して、マケルロイは人々がそれを理解しなければならないと言いました 人間が生成したデータは、収集、共有、分析され、複数のユーザーに使用される商品です。 目的。

「ほとんどの場合、これらの目的は必ずしも悪意のあるものではありません(サードパーティの広告主とデータを共有するなど)。 さまざまなレベルのセキュリティを備えたシステムは、すべての消費者を脆弱にし、攻撃者が利用できるように熟した風景を作ります」と説明しました。 マケルロイ。

デビッド・リカード、CTO北米 暗号、Prosegurの会社は、インターネット上で入力するすべてのフォームがデータを保存していると人々が推測する必要があると考えています。 データ入力が進行中であり、それらが記入するすべてのフォームはウェブサイトの所有物となり、に再販されます 第三者。

「個人データとその価値は、たとえプライバシーが守られていても、過去20年以上にわたって多くの現代のデジタル企業のビジネスモデルを形成しています。 ポリシーには、PII[個人を特定できる情報]を収集して販売しないことが明示されています」とリッカード氏はLifewireに語った。 Eメール。

彼は、データアグリゲーターが名前や住所などを含まない可能性のあるいくつかの異なるデータセットを収集することでプライバシー規制を回避すると述べました。 それ自体はPIIではありませんが、他のデータセットからの数百の追加データポイントと照合すると、成功率が 90%以上。

「これにより、信用を示す保険数理表のような(または実際には保険数理表であると信じられている)サービスが生まれます。 価値、保険の可能性、エンプロイアビリティ、さまざまな依存症の可能性、おそらく政治的および宗教的所属、あなたはそれに名前を付けます」と述べました。 リッカード。