Vissa webbplatser kan läcka din data även innan du skickar in den
- Forskare hittade tusentals av de bästa webbplatserna som fångar och delar formulärdata redan innan användarna tryckte på knappen Skicka.
- Samlingen är inte alltid för reklamsyften, föreslår integritetsexperter.
- Många webbplatser ägde upp och rättade till misstagen, men flera trotsar fortfarande reglerna.
Donald Ian Smith / Getty Images
Webbplatser blir smartare på att samla in och dela din information.
En omfattande studie bland de 100 000 bästa webbplatserna avslöjade att många läckte information som personer skrev in i webbplatsformulären till tredjepartsspårare innan folk ens tryckte på knappen Skicka. Den hittade tusentals sådana webbplatser som läckte allt från e-postadresser till lösenord, men tack och lov fixade många problemen när forskarna kontaktade dem.
"Det är oroande att se webbplatser som läcker lösenord," Rick McElroy, rektor cybersäkerhetsstrateg på VMware, berättade för Lifewire via e-post och reagerade på forskningen. "Jag är glad att se att organisationerna, när de blivit underrättade, gjort ändringar i sin kod för att stoppa denna praxis."
Gå in för att läcka
Studien genomfördes för att avgöra om onlinespårare missbrukar åtkomst till webbformulär. Forskarna pekar på en undersökning där 81 % av de tillfrågade erkände att de övergav onlineformulär någon gång.
"Vi anser att det strider starkt mot användarnas förväntningar att samla in personuppgifter från webbformulär för spårningsändamål innan de skickar in ett formulär", konstaterade forskarna. "Vi ville mäta detta beteende för att bedöma dess prevalens."
Prasit Photo / Getty Images
Sammanlagt testade de 2,8 miljoner sidor på världens högst rankade sajter. Av dessa tillät 1 844 webbplatser spårare att exfiltrera e-postadresser innan de skickades, när de besöktes från Europa. När de besöktes från USA ökade antalet webbplatser som samlade in information innan de skickades till 2 950.
Forskarna noterar att dataläckorna uppenbarligen var oavsiktliga i vissa fall, med tillfällig lösenordsinsamling på 52 webbplatser som löstes tack vare studiens resultat.
"Vissa webbplatser sa till oss att de inte var medvetna om denna datainsamling och rättade till problemet efter våra avslöjande", skrev forskarna, som kommer att presentera sina resultat vid den kommande USENIX Säkerhetssymposium, i Boston, Massachusetts.
Var försiktig
Chris Hauk, mästare för konsumentskydd på Pixels sekretess, sa att medan dataläckorna kommer från webbplatserna, finns det ett par saker som människor kan göra för att åtminstone bromsa dataläckorna.
"Användare kan besöka Electronic Frontier Foundation Täck dina spår webbplats för att avgöra hur webbplatsspårare ser din webbläsare och avslöjar hur webbplatser kan spåra dig medan online, och vad du kan göra för att åtminstone delvis förhindra det”, föreslog Hauk till Lifewire via e-post.
"Personliga data och dess värde utgör affärsmodellen för många moderna digitala företag under de senaste 20+ åren..."
Det vanliga rådet att använda en VPN för att täcka dina onlinespår kommer inte att vara till stor nytta för att förhindra denna typ av läckage. Hauk föreslår att du använder en engångs-e-postadress, separat från ditt vanliga personliga e-postkonto, för användning på webbplatser som ber om sådan information.
McElroy bad folk att antingen använda en webbläsare som är byggd för integritet som Brave, eller att installera integritetstillägg, som t.ex. Privacy Badger, i deras vanliga webbläsare. Han förespråkade också multifaktorautentisering för att minimera skadan av lösenordsläckor.
Dessutom har forskarna utvecklat ett proof-of-concept webbläsartillägg som kallas Läckageinspektör som varnar och skyddar mot dataexfiltrering.
Dataekonomi
McElroy uttryckte sin förvåning över omfattningen av samlingen och sa att folk måste förstå det mänskligt genererad data är en vara som kommer att samlas in, delas, analyseras och användas för flera syften.
"För det mesta är dessa syften inte nödvändigtvis skadliga (som att dela data med en tredjepartsannonsör), men flödet mellan och mellan system med olika säkerhetsnivåer gör alla konsumenter sårbara och skapar ett moget landskap för angripare att dra nytta av", förklarade McElroy.
David Rickard, CTO Nordamerika på Chiffer, ett Prosegur-företag, tycker att folk borde anta att varje formulär de fyller i på internet sparar data medan datainmatning pågår, och varje formulär de fyller i blir webbplatsens egendom och säljs vidare till utomstående.
"Personliga data och dess värde utgör affärsmodellen för många moderna digitala företag under de senaste 20+ åren, även om deras integritet policyer anger uttryckligen att de inte samlar in PII [Personlig identifierbar information] och säljer den," sa Rickard till Lifewire över e-post.
Han sa att datainsamlare arbetar kring integritetsbestämmelser genom att samla in flera olika datauppsättningar som kanske inte inkluderar namn, adress etc., vilket är inte PII som sådana, men när de matchas mot hundratals ytterligare datapunkter från andra datauppsättningar, kan det identifiera individer med en framgångsfrekvens på över 90 %.
"Detta ger upphov till tjänster som är något som liknar aktuariella tabeller (eller tros faktiskt vara försäkringstekniska tabeller) som indikerar kredit värdighet, försäkringsförmåga, anställningsbarhet, sannolikhet för olika missbruk, sannolikt politiska och religiösa tillhörigheter, you name it", sa Rickard.