Bazı Web Siteleri Verilerinizi Siz Göndermeden Bile Sızdırabilir

click fraud protection
  • Araştırmacılar, kullanıcılar Gönder düğmesine basmadan önce bile form verilerini yakalayan ve paylaşan en iyi binlerce web sitesini buldu.
  • Koleksiyon her zaman reklam amaçlı değildir, gizlilik uzmanlarına önerin.
  • Birçok web sitesi hataları sahiplendi ve düzeltti, ancak bazıları hala kurallara karşı çıkıyor.
Bilgisayar ekranına dönüşen bir kişinin pikselli eli.

Donald Ian Smith / Getty Images

Web siteleri, bilgilerinizi toplama ve paylaşma konusunda giderek daha becerikli hale geliyor.

Bir kapsamlı çalışma İlk 100.000 web sitesinde, insanların daha gönder düğmesine basmadan önce site formlarına girdiği birçok bilginin üçüncü taraf izleyicilere sızdırıldığı ortaya çıktı. E-posta adreslerinden şifrelere kadar her şeyi sızdıran bu tür binlerce web sitesi buldu, ancak neyse ki çoğu, araştırmacılar kendileriyle iletişime geçtiğinde sorunları düzeltti.

"Şifre sızdıran web sitelerini görmek endişe verici" Rick McElroy, Baş Siber Güvenlik Stratejisti sanal makine yazılımı, Lifewire'a e-posta yoluyla araştırmaya tepki göstererek söyledi. "Bir kez bildirildiğinde, kuruluşların bu uygulamayı durdurmak için kodlarında değişiklik yaptığını görmekten mutluyum."

Sızıntıya Girin

Çalışma, çevrimiçi izleyicilerin web formlarına erişimi kötüye kullanıp kullanmadığını belirlemek için yapıldı. Araştırmacılar bir anket ankete katılanların %81'i bir noktada çevrimiçi formları terk ettiğini kabul etti.

Araştırmacılar, "Bir formu göndermeden önce izleme amacıyla web formlarından kişisel veri toplamanın, kullanıcıların beklentilerine şiddetle karşı olduğuna inanıyoruz" dedi. "Yaygınlığını değerlendirmek için bu davranışı ölçmek istedik."

Birisi ev bilgisayarında bir form dolduruyor.

Prasit Fotoğrafı / Getty Images

Toplamda, dünyanın en yüksek dereceli sitelerinde 2,8 milyon sayfayı test ettiler. Bunlardan 1.844 web sitesi, izleyicilerin Avrupa'dan ziyaret edildiğinde gönderilmeden önce e-posta adreslerini sızdırmasına izin verdi. ABD'den ziyaret edildiğinde, gönderilmeden önce bilgi toplayan sitelerin sayısı 2.950'ye yükseldi.

Araştırmacılar, veri sızıntılarının bazı durumlarda görünüşte kasıtsız olduğunu ve çalışmanın bulguları sayesinde 52 web sitesinde tesadüfi şifre toplamanın çözüldüğünü belirtiyorlar.

Bulgularını önümüzdeki günlerde sunacak olan araştırmacılar, "Bazı web siteleri bize bu veri toplamadan haberdar olmadıklarını söyledi ve açıklamamız üzerine sorunu düzeltti" dedi. USENIX Güvenlik Sempozyumu, Boston, Massachusetts'te.

Güvende kal

Chris Hauk, tüketici gizliliği şampiyonu Piksel Gizliliği, veri sızıntıları web sitelerinden gelirken, insanların veri sızıntılarını en azından yavaşlatmak için yapabilecekleri birkaç şey olduğunu söyledi.

"Kullanıcılar Electronic Frontier Foundation'ın İzlerini kapat web sitesi izleyicilerinin tarayıcınızı nasıl gördüğünü belirlemek için web sitesi ve bunu en azından kısmen önlemek için yapabilecekleriniz," diye önerdi Hauk, Lifewire'a e-posta yoluyla.

"Kişisel veriler ve değeri, son 20 yılı aşkın süredir birçok modern dijital kuruluş için iş modelini oluşturuyor..."

Çevrimiçi izlerinizi kapatmak için bir VPN kullanmanın olağan tavsiyesi, bu tür bir sızıntıyı önlemek için pek işe yaramaz. Hauk, bu tür bilgileri isteyen web sitelerinde kullanım için normal kişisel e-posta hesabınızdan ayrı tek kullanımlık bir e-posta adresi kullanmanızı önerir.

McElroy, insanlardan ya Brave gibi gizlilik için oluşturulmuş bir web tarayıcısı kullanmalarını ya da aşağıdakiler gibi gizlilik eklentileri yüklemelerini istedi. Gizlilik Porsuğu, normal tarayıcılarında. Ayrıca, parola sızıntılarının zarar görmesini en aza indirmek için çok faktörlü kimlik doğrulamayı savundu.

Ek olarak, araştırmacılar bir kavram kanıtı tarayıcı eklentisi geliştirdiler. Kaçak Müfettişi bu, veri hırsızlığına karşı uyarır ve korur.

Veri Ekonomisi

Koleksiyonun genişliğine şaşırdığını ifade eden McElroy, insanların şunu anlaması gerektiğini söyledi. insan tarafından üretilen veriler, toplanacak, paylaşılacak, analiz edilecek ve birden çok amaç için kullanılacak bir metadır. amaçlar.

"Çoğu zaman bu amaçlar kötü amaçlı değildir (bir üçüncü taraf reklamverenle veri paylaşmak gibi), ancak aralarındaki ve arasındaki akış çeşitli güvenlik seviyelerine sahip sistemler, tüm tüketicileri savunmasız hale getirir ve saldırganların yararlanabileceği olgun bir ortam yaratır." McElroy.

David Rickard, Kuzey Amerika CTO'su şifre, bir Prosegur şirketi, insanların internette doldurdukları her formun veri kaydetmek olduğunu varsaymaları gerektiğini düşünüyor. veri girişi devam ederken ve doldurdukları her form sitenin mülkiyetine geçer ve tekrar satılır. üçüncü şahıslar.

"Kişisel veriler ve değeri, son 20 yılı aşkın bir süredir birçok modern dijital kuruluş için iş modelini, mahremiyetleri olsa bile, oluşturmaktadır. politikalar açıkça PII [Kişisel Olarak Tanımlanabilir Bilgiler] toplamadıklarını ve satmadıklarını belirtir, "dedi Rickard Lifewire'a e-posta.

Veri toplayıcıların ad, adres vb. içermeyen birkaç farklı veri kümesi toplayarak gizlilik düzenlemeleri etrafında çalıştığını söyledi. olduğu gibi PII değildir, ancak diğer veri kümelerinden yüzlerce ek veri noktasıyla eşleştirildiğinde, başarı oranı şu şekilde olan kişileri belirleyebilir: %90'ın üzerinde.

"Bu, krediyi gösteren aktüeryal tablolar gibi (veya aslında aktüeryal tablolar olduğuna inanılan) hizmetlere yol açar. değerlilik, sigortalanabilirlik, istihdam edilebilirlik, farklı bağımlılık olasılığı, olası siyasi ve dini bağlantılar, adını siz koyun" dedi. Rickard.