Dažās vietnēs jūsu dati var tikt nopludināti pat pirms to iesniegšanas
- Pētnieki atklāja tūkstošiem populārāko vietņu, kas tver un kopīgo veidlapu datus pat pirms lietotāji nospieda pogu Iesniegt.
- Kolekcija ne vienmēr ir paredzēta reklāmas nolūkiem, iesaka privātuma eksperti.
- Daudzas vietnes piederēja un izlaboja kļūdas, taču vairākas joprojām neievēro noteikumus.
Donalds Ians Smits / Getty Images
Vietnes kļūst gudrākas jūsu informācijas vākšanā un kopīgošanā.
An plašs pētījums 100 000 populārāko vietņu vidū atklājās, ka daudzas informācijas noplūdes, ko cilvēki vietņu veidlapās ievadīja trešo pušu izsekotājiem, pirms cilvēki pat nospieda iesniegšanas pogu. Tika atrasts tūkstošiem šādu vietņu, kurās tika nopludināts viss, sākot no e-pasta adresēm un beidzot ar parolēm, lai gan, par laimi, daudzas problēmas atrisināja, kad pētnieki ar viņiem sazinājās.
"Ir satraucoši redzēt vietnes, kurās tiek nopludinātas paroles," Riks Makelrojs, galvenais kiberdrošības stratēģis plkst VMware, stāstīja Lifewire pa e-pastu, reaģējot uz pētījumu. "Esmu priecīgs redzēt, ka pēc paziņojuma saņemšanas organizācijas veica izmaiņas savā kodeksā, lai apturētu šo praksi."
Ieejiet noplūdē
Pētījums tika veikts, lai noteiktu, vai tiešsaistes izsekotāji ļaunprātīgi izmanto piekļuvi tīmekļa veidlapām. Pētnieki norāda uz a aptauja kur 81% aptaujāto atzina, ka kādā brīdī ir atteikušies no tiešsaistes veidlapām.
"Mēs uzskatām, ka tas ir stingri pretrunā lietotāju cerībām vākt personas datus no tīmekļa veidlapām izsekošanas nolūkos pirms veidlapas iesniegšanas," atzīmēja pētnieki. "Mēs vēlējāmies izmērīt šo uzvedību, lai novērtētu tās izplatību."
Prasit Photo / Getty Images
Kopumā viņi pārbaudīja 2,8 miljonus lappušu pasaules visaugstāk novērtētajās vietnēs. No tām 1844 tīmekļa vietnes ļāva izsekotājiem izfiltrēt e-pasta adreses pirms iesniegšanas, kad tās apmeklēja no Eiropas. Apmeklējot no ASV, to vietņu skaits, kurās informācija tiek apkopota pirms iesniegšanas, palielinājās līdz 2950.
Pētnieki atzīmē, ka dažos gadījumos datu noplūde acīmredzami bija netīša, jo nejauša paroļu ievākšana 52 vietnēs tika atrisināta, pateicoties pētījuma rezultātiem.
"Dažas tīmekļa vietnes mums teica, ka viņi nezināja par šo datu vākšanu, un pēc mūsu informācijas izpaušanas problēmu novērsa," raksta pētnieki, kuri iepazīstinās ar saviem atklājumiem gaidāmajā sanāksmē. USENIX drošības simpozijs, Bostonā, Masačūsetsā.
Esiet drošībā
Kriss Hauks, patērētāju privātuma čempions plkst Pixel Privātums, teica, ka, lai gan datu noplūdes nāk no vietnēm, cilvēki var darīt dažas lietas, lai vismaz palēninātu datu noplūdi.
"Lietotāji var apmeklēt Electronic Frontier Foundation's Aptveriet savas pēdas vietni, lai noteiktu, kā vietņu izsekotāji redz jūsu pārlūkprogrammu, atklājot, kā vietnes var jūs izsekot tiešsaistē un ko jūs varat darīt, lai vismaz daļēji to novērstu," Hauks ieteica Lifewire pa e-pastu.
"Personas dati un to vērtība veido biznesa modeli daudziem mūsdienu digitālajiem uzņēmumiem pēdējos 20+ gadus..."
Parastie ieteikumi par VPN izmantošanu tiešsaistes ierakstu segšanai nebūs īpaši noderīgi, lai novērstu šāda veida noplūdi. Hauks iesaka izmantot vienreiz lietojamu e-pasta adresi, kas ir atsevišķi no jūsu parastā personiskā e-pasta konta, lai to izmantotu vietnēs, kurās tiek pieprasīta šāda informācija.
McElroy lūdza cilvēkus vai nu izmantot tīmekļa pārlūkprogrammu, kas izstrādāta privātumam, piemēram, Brave, vai instalēt privātuma papildinājumus, piemēram, Privātuma āpsis, savā parastajā pārlūkprogrammā. Viņš arī iestājās par vairāku faktoru autentifikāciju, lai samazinātu paroles noplūdes radīto kaitējumu.
Turklāt pētnieki ir izstrādājuši koncepcijas pierādījuma pārlūkprogrammas pievienojumprogrammu, ko sauc Noplūdes inspektors kas brīdina un aizsargā pret datu izfiltrēšanu.
Datu ekonomika
Paužot savu pārsteigumu par kolekcijas apjomu, Makelrojs sacīja, ka cilvēkiem tas ir jāsaprot cilvēka radītie dati ir prece, kas tiks apkopota, kopīgota, analizēta un izmantota vairākām vajadzībām mērķiem.
"Lielāko daļu laika šie mērķi ne vienmēr ir ļaunprātīgi (piemēram, datu koplietošana ar trešās puses reklāmdevēju), taču plūsma starp un starp sistēmas ar dažādiem drošības līmeņiem padara visus patērētājus neaizsargātus un rada nobriedušu ainavu, ko uzbrucēji var izmantot," skaidroja. Makelrojs.
Deivids Rikards, CTO Ziemeļamerika plkst Šifrs, uzņēmums Prosegur, uzskata, ka cilvēkiem vajadzētu pieņemt, ka katra veidlapa, ko viņi aizpilda internetā, saglabā datus kamēr notiek datu ievade, un katra viņu aizpildītā veidlapa kļūst par vietnes īpašumu un tiek pārdota tālāk trešās puses.
"Personas dati un to vērtība veido biznesa modeli daudziem mūsdienu digitālajiem uzņēmumiem pēdējo 20+ gadu laikā, pat ja to privātums politikā ir skaidri norādīts, ka viņi neapkopo PII [personiski identificējamu informāciju] un nepārdod to," Rikards pastāstīja Lifewire. e-pasts.
Viņš teica, ka datu apkopotāji apstrādā privātuma noteikumus, apkopojot vairākas dažādas datu kopas, kurās var nebūt iekļauts vārds, adrese utt. nav PII kā tādas, taču, salīdzinot ar simtiem papildu datu punktu no citām datu kopām, var identificēt personas ar panākumu līmeni vairāk nekā 90%.
"Tas rada pakalpojumus, kas ir kaut kas līdzīgs aktuāra tabulām (vai tiek uzskatīts, ka tās faktiski ir aktuāra tabulas), kas norāda kredītu. cienīgums, apdrošināšana, nodarbinātības iespējas, dažādu atkarību iespējamība, iespējamā politiskā un reliģiskā piederība, jūs to nosaucat," sacīja Rikards.