Noen nettsteder kan lekke dataene dine selv før du sender dem
- Forskere fant tusenvis av de beste nettstedene som fanget og delte skjemadata selv før brukerne trykket på Send-knappen.
- Samlingen er ikke alltid for reklameformål, foreslår personverneksperter.
- Mange nettsteder eide og rettet opp feilene, men flere trosser fortsatt reglene.
Donald Ian Smith / Getty Images
Nettsteder blir stadig flinkere til å samle inn og dele informasjonen din.
An omfattende studie blant de 100 000 beste nettstedene avslørte at mange lekket informasjon folk skrev inn i nettstedsskjemaene til tredjepartssporere før folk i det hele tatt trykket på send-knappen. Den fant tusenvis av slike nettsteder som lekket alt fra e-postadresser til passord, men heldigvis løste mange problemene når forskerne kontaktet dem.
"Det er bekymringsfullt å se nettsteder som lekker passord," Rick McElroy, rektor for cybersikkerhetsstrateg ved VMware, fortalte Lifewire over e-post, og reagerte på forskningen. "Jeg er glad for å se at når de ble varslet, gjorde organisasjonene endringer i koden for å stoppe denne praksisen."
Gå inn for å lekke
Studien ble utført for å finne ut om nettsporere misbruker tilgang til nettskjemaer. Forskerne peker på en undersøkelse hvor 81 % av respondentene innrømmet å ha forlatt nettskjemaer på et tidspunkt.
"Vi mener det er sterkt mot brukernes forventninger å samle inn personlige data fra nettskjemaer for sporingsformål før innsending av et skjema," bemerket forskerne. "Vi ønsket å måle denne oppførselen for å vurdere utbredelsen."
Prasit Photo / Getty Images
I alt testet de 2,8 millioner sider på verdens høyest rangerte sider. Av disse tillot 1 844 nettsteder sporere å eksfiltrere e-postadresser før innsending, når de ble besøkt fra Europa. Ved besøk fra USA økte antallet nettsteder som samler inn informasjon før innsending til 2 950.
Forskerne bemerker at datalekkasjene tilsynelatende var utilsiktede i noen tilfeller, med tilfeldig passordinnsamling på 52 nettsteder som ble løst takket være studiens funn.
"Noen nettsteder fortalte oss at de ikke var klar over denne datainnsamlingen og rettet opp problemet etter avsløringene våre," skrev forskerne, som vil presentere funnene sine på den kommende USENIX Sikkerhetssymposium, i Boston, Massachusetts.
Hold deg trygg
Chris Hauk, forbrukervernmester kl Pixel Privacy, sa at mens datalekkasjene kommer fra nettsidene, er det et par ting folk kan gjøre for i det minste å bremse datalekkasjene.
"Brukere kan besøke Electronic Frontier Foundation Dekk sporene dine nettsted for å finne ut hvordan nettstedsporere ser nettleseren din, og avslører hvordan nettsteder kan spore deg mens online, og hva du kan gjøre for i det minste delvis å forhindre det," foreslo Hauk til Lifewire via e-post.
"Personlige data og deres verdi danner forretningsmodellen for mange moderne digitale virksomheter de siste 20+ årene..."
Det vanlige rådet om å bruke en VPN for å dekke sporene dine på nettet vil ikke være til stor nytte for å forhindre denne typen lekkasje. Hauk foreslår at du bruker en engangs-e-postadresse, atskilt fra din vanlige personlige e-postkonto, for bruk på nettsteder som ber om slik informasjon.
McElroy ba folk enten bruke en nettleser bygget for personvern som Brave, eller å installere personverntillegg, som f.eks. Privacy Badger, i deres vanlige nettleser. Han tok også til orde for multifaktorautentisering for å minimere skaden av passordlekkasjer.
I tillegg har forskerne utviklet et proof-of-concept nettlesertillegg kalt Lekkasjekontrollør som advarer og beskytter mot dataeksfiltrering.
Dataøkonomi
McElroy uttrykte sin overraskelse over omfanget av samlingen, og sa at folk må forstå det menneskeskapte data er en vare som vil bli samlet inn, delt, analysert og brukt for flere formål.
"For det meste er disse formålene ikke nødvendigvis ondsinnede (som å dele data med en tredjepartsannonsør), men flyten mellom og mellom systemer med ulike sikkerhetsnivåer gjør alle forbrukere sårbare og skaper et modent landskap for angripere å dra nytte av," forklarte McElroy.
David Rickard, CTO Nord-Amerika kl Chiffer, et Prosegur-selskap, mener at folk bør anta at hvert skjema de fyller ut på internett lagrer data mens dataregistrering pågår, og hvert skjema de fyller ut blir eiendommen til nettstedet og videreselges til tredjeparter.
"Personlige data og deres verdi utgjør forretningsmodellen for mange moderne digitale virksomheter de siste 20+ årene, selv om deres personvern retningslinjer sier eksplisitt at de ikke samler PII [Personlig identifiserbar informasjon] og selger den," sa Rickard til Lifewire over e-post.
Han sa at datainnsamlere jobber rundt personvernforskrifter ved å samle inn flere forskjellige datasett som kanskje ikke inkluderer navn, adresse osv., som er ikke PII som sådan, men når de matches mot hundrevis av ekstra datapunkter fra andre datasett, kan det identifisere individer med en suksessrate på over 90 %.
"Dette gir opphav til tjenester som er noe sånt som aktuartabeller (eller antas å være aktuarielle tabeller) som indikerer kreditt verdighet, forsikringsevne, ansettelsesevne, sannsynlighet for ulike avhengigheter, sannsynlig politisk og religiøs tilhørighet, you name it," sa Rickard.