Alguns sites podem vazar seus dados antes mesmo de você enviá-los
- Os pesquisadores encontraram milhares dos principais sites capturando e compartilhando dados de formulários antes mesmo de os usuários pressionarem o botão Enviar.
- A coleção nem sempre é para fins publicitários, sugerem especialistas em privacidade.
- Muitos sites assumiram e corrigiram os erros, mas vários ainda desafiam as regras.
Os sites estão ficando mais habilidosos em coletar e compartilhar suas informações.
A estudo extensivo nos 100.000 principais sites revelou que muitas informações vazadas que as pessoas inseriram nos formulários do site para rastreadores de terceiros antes mesmo de pressionar o botão de envio. Ele encontrou milhares de sites que vazaram tudo, desde endereços de e-mail a senhas, embora, felizmente, muitos tenham corrigido os problemas assim que os pesquisadores os contataram.
"É preocupante ver sites vazando senhas" Rick McElroy, estrategista principal de segurança cibernética da VMware, disse à Lifewire por e-mail, reagindo à pesquisa. "Fico feliz em ver que, uma vez notificadas, as organizações fizeram alterações em seu código para interromper essa prática."
Entrar para vazar
O estudo foi realizado para determinar se os rastreadores on-line fazem uso indevido do acesso a formulários da web. Os pesquisadores apontam para uma pesquisa onde 81% dos entrevistados admitiram abandonar os formulários online em algum momento.
"Acreditamos que é fortemente contra as expectativas dos usuários coletar dados pessoais de formulários da web para fins de rastreamento antes de enviar um formulário", observaram os pesquisadores. "Queríamos medir esse comportamento para avaliar sua prevalência".
Ao todo, eles testaram 2,8 milhões de páginas nos sites mais bem classificados do mundo. Destes, 1.844 sites permitiram que os rastreadores extraíssem endereços de e-mail antes do envio, quando visitados da Europa. Quando visitados dos EUA, o número de sites que coletam informações antes do envio aumentou para 2.950.
Os pesquisadores observam que os vazamentos de dados foram aparentemente não intencionais em alguns casos, com a coleta acidental de senhas em 52 sites sendo resolvida graças às descobertas do estudo.
"Alguns sites nos disseram que não estavam cientes dessa coleta de dados e corrigiram o problema em nossas divulgações", escreveram os pesquisadores, que apresentarão suas descobertas na próxima Simpósio de Segurança USENIX, em Boston, Massachusetts.
Fique seguro
Chris Hauk, campeão de privacidade do consumidor na Privacidade de pixels, disse que, embora os vazamentos de dados venham dos sites, há algumas coisas que as pessoas podem fazer para pelo menos retardar os vazamentos de dados.
"Os usuários podem visitar a Electronic Frontier Foundation's Cubra suas faixas site para determinar como os rastreadores de sites veem seu navegador, revelando como os sites podem rastreá-lo enquanto on-line e o que você pode fazer para evitá-lo, pelo menos parcialmente”, sugeriu Hauk à Lifewire por e-mail.
"Dados pessoais e seu valor formam o modelo de negócios para muitas empresas digitais modernas nos últimos 20 anos..."
O conselho usual de usar uma VPN para cobrir seus rastros online não será muito útil para evitar esse tipo de vazamento. Hauk sugere o uso de um endereço de e-mail descartável, separado de sua conta de e-mail pessoal habitual, para uso em sites que solicitam tais informações.
McElroy pediu que as pessoas usassem um navegador da Web criado para privacidade, como o Brave, ou instalassem complementos de privacidade, como Texugo de privacidade, em seu navegador normal. Ele também defendeu a autenticação multifator para minimizar os danos de vazamentos de senha.
Além disso, os pesquisadores desenvolveram um complemento de navegador de prova de conceito chamado Inspetor de Vazamentos que avisa e protege contra a exfiltração de dados.
Economia de dados
Expressando sua surpresa com a extensão da coleção, McElroy disse que as pessoas devem entender que dados gerados por humanos são uma mercadoria que será coletada, compartilhada, analisada e usada para vários propósitos.
"Na maioria das vezes, esses propósitos não são necessariamente maliciosos (como compartilhar dados com um anunciante de terceiros), mas o fluxo entre e entre sistemas com vários níveis de segurança torna todos os consumidores vulneráveis e cria um cenário maduro para os invasores aproveitarem", explicou McElroy.
David Rickard, CTO América do Norte em Cifra, uma empresa da Prosegur, acha que as pessoas deveriam presumir que cada formulário que preenchem na internet está salvando dados enquanto a entrada de dados está em andamento, e todos os formulários que eles preenchem tornam-se propriedade do site e revendidos para terceiros.
"Dados pessoais e seu valor formam o modelo de negócios para muitas empresas digitais modernas nos últimos 20 anos, mesmo que sua privacidade políticas declaram explicitamente que não coletam PII [Informações de Identificação Pessoal] e as vendem", disse Rickard à Lifewire sobre o email.
Ele disse que os agregadores de dados trabalham em torno dos regulamentos de privacidade coletando vários conjuntos de dados diferentes que podem não incluir nome, endereço etc., que não são PII como tal, mas quando comparados com centenas de pontos de dados adicionais de outros conjuntos de dados, podem identificar indivíduos com uma taxa de sucesso de mais de 90%.
"Isso dá origem a serviços que são algo como tabelas atuariais (ou que se acredita serem realmente tabelas atuariais) indicando crédito dignidade, segurabilidade, empregabilidade, probabilidade de diferentes vícios, prováveis afiliações políticas e religiosas, você escolhe", disse Rickard.