Некоторые веб-сайты могут привести к утечке ваших данных еще до того, как вы их отправите
- Исследователи обнаружили, что тысячи популярных веб-сайтов собирают данные форм и обмениваются ими еще до того, как пользователи нажимают кнопку «Отправить».
- Коллекция не всегда предназначена для рекламы, предполагают эксперты по конфиденциальности.
- Многие веб-сайты признали ошибки и исправили их, но некоторые по-прежнему нарушают правила.
Дональд Ян Смит / Getty Images
Веб-сайты становятся хитрее в сборе и обмене вашей информацией.
Ан обширное исследование в топ-100 000 веб-сайтов выяснилось, что многие люди передавали информацию, которую люди вводили в формы сайта, сторонним трекерам еще до того, как люди нажимали кнопку отправки. Были обнаружены тысячи таких веб-сайтов, которые сливали все, от адресов электронной почты до паролей, хотя, к счастью, многие исправили проблемы, как только исследователи связались с ними.
«Тревожно видеть, что сайты сливают пароли», Рик МакЭлрой, главный специалист по стратегии кибербезопасности в VMware, сообщил Lifewire по электронной почте, реагируя на исследование. «Я рад видеть, что после уведомления организации внесли изменения в свой код, чтобы прекратить эту практику».
Войти в утечку
Исследование было проведено, чтобы определить, не злоупотребляют ли онлайн-трекеры доступом к веб-формам. Исследователи указывают на опрос где 81% респондентов признались, что в какой-то момент отказались от онлайн-форм.
«Мы считаем, что сбор личных данных из веб-форм для целей отслеживания перед отправкой формы категорически противоречит ожиданиям пользователей», — отметили исследователи. «Мы хотели измерить это поведение, чтобы оценить его распространенность».
Прасит Фото / Getty Images
В общей сложности они протестировали 2,8 миллиона страниц на сайтах с самым высоким рейтингом в мире. Из них 1844 веб-сайта позволяли трекерам эксфильтровать адреса электронной почты перед отправкой при посещении из Европы. При посещении из США количество сайтов, собирающих информацию перед отправкой, увеличилось до 2950.
Исследователи отмечают, что в некоторых случаях утечки данных были явно непреднамеренными, а случайный сбор паролей на 52 веб-сайтах был устранен благодаря результатам исследования.
«Некоторые веб-сайты сообщили нам, что они не знали об этом сборе данных, и исправили проблему после нашего раскрытия информации», — написали исследователи, которые представят свои выводы на предстоящей конференции. Симпозиум по безопасности USENIX, в Бостоне, Массачусетс.
Оставайтесь в безопасности
Крис Хаук, чемпион по защите конфиденциальности потребителей в Конфиденциальность пикселей, сказал, что, хотя утечки данных происходят с веб-сайтов, есть несколько вещей, которые люди могут сделать со своей стороны, чтобы хотя бы замедлить утечку данных.
"Пользователи могут посетить сайт Electronic Frontier Foundation Заметайте следы веб-сайт, чтобы определить, как средства отслеживания веб-сайтов видят ваш браузер, показывая, как сайты могут отслеживать вас во время онлайн, и что вы можете сделать, чтобы хотя бы частично предотвратить это», — предложил Хаук Lifewire по электронной почте.
«Персональные данные и их ценность формируют бизнес-модель многих современных цифровых предприятий на протяжении последних 20 с лишним лет…»
Обычный совет по использованию VPN для сокрытия ваших онлайн-треков не поможет предотвратить такого рода утечку. Хаук предлагает использовать одноразовый адрес электронной почты отдельно от вашей обычной личной учетной записи электронной почты для использования на веб-сайтах, запрашивающих такую информацию.
МакЭлрой попросил людей либо использовать веб-браузер, созданный для обеспечения конфиденциальности, такой как Brave, либо установить надстройки для обеспечения конфиденциальности, такие как Конфиденциальность Барсук, в обычном браузере. Он также выступал за многофакторную аутентификацию, чтобы свести к минимуму ущерб от утечки паролей.
Кроме того, исследователи разработали экспериментальную надстройку для браузера под названием Инспектор утечек который предупреждает и защищает от кражи данных.
Экономика данных
Выражая свое удивление по поводу размера коллекции, МакЭлрой сказал, что люди должны понимать, что данные, созданные человеком, — это товар, который будет собираться, делиться, анализироваться и использоваться для множества целей.
«В большинстве случаев эти цели не обязательно являются злонамеренными (например, обмен данными со сторонним рекламодателем), однако поток между и между системы с различными уровнями безопасности делают всех потребителей уязвимыми и создают благоприятную среду для злоумышленников», — пояснил МакЭлрой.
Дэвид Рикард, технический директор в Северной Америке Шифр, компания Prosegur, считает, что люди должны исходить из того, что каждая форма, которую они заполняют в Интернете, сохраняет данные. пока идет ввод данных, и каждая форма, которую они заполняют, становится собственностью веб-сайта и перепродается третьи лица.
«Персональные данные и их ценность формируют бизнес-модель многих современных цифровых предприятий на протяжении последних 20 с лишним лет, даже если их конфиденциальность политики прямо заявляют, что они не собирают PII [идентифицирующую личность информацию] и не продают ее», — сказал Рикард Lifewire. Эл. адрес.
Он сказал, что агрегаторы данных обходят правила конфиденциальности, собирая несколько разных наборов данных, которые могут не включать имя, адрес и т. д. не являются PII как таковыми, но при сопоставлении с сотнями дополнительных точек данных из других наборов данных могут идентифицировать людей с вероятностью успеха более 90%.
«Это приводит к появлению услуг, которые представляют собой что-то вроде актуарных таблиц (или, как считается, на самом деле являются актуарными таблицами), указывающих на кредит. достоинство, страховка, возможность трудоустройства, вероятность различных зависимостей, вероятная политическая и религиозная принадлежность, вы называете это», — сказал Рикард.