Sommige websites kunnen uw gegevens lekken, zelfs voordat u deze indient
- Onderzoekers vonden duizenden van de beste websites die formuliergegevens vastleggen en delen, zelfs voordat gebruikers op de knop Verzenden drukten.
- De collectie is niet altijd voor reclamedoeleinden, suggereren privacy-experts.
- Veel websites waren eigenaar van en corrigeerden de fouten, maar verschillende tarten nog steeds de regels.
Donald Ian Smith / Getty Images
Websites worden steeds slimmer in het verzamelen en delen van uw informatie.
Een uitgebreide studie in de top 100.000 websites bleek dat veel gelekte informatie die mensen in de siteformulieren invoerden naar externe trackers voordat mensen zelfs maar op de verzendknop drukten. Het vond duizenden van dergelijke websites die alles lekten, van e-mailadressen tot wachtwoorden, maar gelukkig losten velen de problemen op nadat de onderzoekers contact met hen hadden opgenomen.
"Het is zorgwekkend om te zien dat websites wachtwoorden lekken", Rick McElroy, Principal Cybersecurity Strategist bij VMware, vertelde Lifewire via e-mail, in reactie op het onderzoek. "Ik ben blij om te zien dat de organisaties, nadat ze op de hoogte waren gesteld, hun code hebben gewijzigd om die praktijk te stoppen."
Ga naar Leak
Het onderzoek is uitgevoerd om te bepalen of online trackers de toegang tot webformulieren misbruiken. De onderzoekers wijzen op een vragenlijst waar 81% van de respondenten toegaf ooit online formulieren te hebben verlaten.
"We zijn van mening dat het sterk in strijd is met de verwachtingen van gebruikers om persoonlijke gegevens van webformulieren te verzamelen voor trackingdoeleinden voordat een formulier wordt ingediend", aldus de onderzoekers. "We wilden dit gedrag meten om de prevalentie ervan te beoordelen."
Prasit-foto / Getty-afbeeldingen
In totaal hebben ze 2,8 miljoen pagina's getest op 's werelds best gerangschikte sites. Hiervan stonden 1.844 websites trackers toe om e-mailadressen te exfiltreren voordat ze werden ingediend, wanneer ze vanuit Europa werden bezocht. Bij een bezoek vanuit de VS steeg het aantal sites dat informatie verzamelde vóór indiening tot 2.950.
De onderzoekers merken op dat de datalekken in sommige gevallen schijnbaar onbedoeld waren, waarbij het incidenteel verzamelen van wachtwoorden op 52 websites werd opgelost dankzij de bevindingen van het onderzoek.
"Sommige websites vertelden ons dat ze niet op de hoogte waren van deze gegevensverzameling en hebben het probleem verholpen na onze onthullingen", schreven de onderzoekers, die hun bevindingen zullen presenteren tijdens de komende USENIX-beveiligingssymposium, in Boston, Massachusetts.
Blijf Veilig
Chris Hauku, kampioen consumentenprivacy bij Pixelprivacy, zei dat hoewel de datalekken van de websites komen, er een aantal dingen zijn die mensen aan hun kant kunnen doen om de datalekken op zijn minst te vertragen.
"Gebruikers kunnen Electronic Frontier Foundation's bezoeken Wis je sporen uit website om te bepalen hoe website-trackers uw browser zien, waardoor wordt onthuld hoe sites u kunnen volgen terwijl online, en wat u kunt doen om dit op zijn minst gedeeltelijk te voorkomen”, stelde Hauk via e-mail voor aan Lifewire.
"Persoonlijke gegevens en de waarde ervan vormen het bedrijfsmodel voor veel moderne digitale ondernemingen van de afgelopen 20+ jaar..."
Het gebruikelijke advies om een VPN te gebruiken om je online sporen te verbergen, zal niet veel helpen om dit soort lekken te voorkomen. Hauk stelt voor om een wegwerp-e-mailadres te gebruiken, los van uw gebruikelijke persoonlijke e-mailaccount, voor gebruik op websites die om dergelijke informatie vragen.
McElroy vroeg mensen om ofwel een webbrowser te gebruiken die is gebouwd voor privacy, zoals Brave, of om privacy-add-ons te installeren, zoals Privacy Badger, in hun gewone browser. Hij pleitte ook voor multi-factor authenticatie om de schade door wachtwoordlekken te minimaliseren.
Daarnaast hebben de onderzoekers een proof-of-concept browser add-on ontwikkeld genaamd Lek inspecteur dat waarschuwt en beschermt tegen gegevensexfiltratie.
Data-economie
McElroy sprak zijn verbazing uit over de omvang van de collectie en zei dat mensen dat moeten begrijpen: door mensen gegenereerde gegevens zijn handelswaar die voor meerdere doeleinden worden verzameld, gedeeld, geanalyseerd en gebruikt doeleinden.
"Meestal zijn deze doeleinden niet per se kwaadaardig (zoals het delen van gegevens met een externe adverteerder), maar de stroom tussen en tussen systemen met verschillende beveiligingsniveaus maken alle consumenten kwetsbaar en creëren een rijp landschap waar aanvallers hun voordeel mee kunnen doen", aldus McElroy.
David Rickard, CTO Noord-Amerika bij Cijfer, een Prosegur-bedrijf, vindt dat mensen moeten aannemen dat elk formulier dat ze op internet invullen, gegevens opslaat terwijl de gegevensinvoer aan de gang is, en elk formulier dat ze invullen, wordt eigendom van de website en doorverkocht aan derden.
"Persoonlijke gegevens en de waarde ervan vormen het bedrijfsmodel voor veel moderne digitale ondernemingen in de afgelopen 20+ jaar, zelfs als hun privacy beleid verklaart expliciet dat ze geen PII [persoonlijk identificeerbare informatie] verzamelen en verkopen", vertelde Rickard aan Lifewire over e-mail.
Hij zei dat data-aggregators de privacyregelgeving omzeilen door verschillende datasets te verzamelen die mogelijk geen naam, adres, enz. zijn geen PII als zodanig, maar kunnen, wanneer ze worden vergeleken met honderden extra datapunten uit andere datasets, individuen identificeren met een slagingspercentage van meer dan 90%.
"Dit geeft aanleiding tot diensten die zoiets zijn als actuariële tabellen (of waarvan wordt aangenomen dat ze feitelijk actuariële tabellen zijn) die kredietwaardigheid aangeven waardigheid, verzekerbaarheid, inzetbaarheid, waarschijnlijkheid van verschillende verslavingen, waarschijnlijke politieke en religieuze voorkeuren, noem maar op," zei Rickard.