Деякі веб-сайти можуть витікати ваші дані ще до того, як ви їх подасте
- Дослідники виявили тисячі найпопулярніших веб-сайтів, які збирали та обмінювалися даними форм ще до того, як користувачі натиснули кнопку «Надіслати».
- Колекція не завжди призначена для рекламних цілей, радять експерти з конфіденційності.
- Багато веб-сайтів підтримали та виправили помилки, але деякі все ще порушують правила.
Веб-сайти стають все хитрішими у збиранні та поширенні вашої інформації.
An обширне дослідження у топ-100 000 веб-сайтів виявилося, що багато витоків інформації, які люди вводили у форми сайту для сторонніх трекерів, ще до того, як люди натиснули кнопку надіслати. Було виявлено тисячі таких веб-сайтів, на яких витікало все, від адрес електронної пошти до паролів, хоча, на щастя, багато з них вирішили проблеми, як тільки дослідники зв’язалися з ними.
"Це хвилює те, що веб-сайти витікають паролі", Рік МакЕлрой, головний стратег із кібербезпеки в VMware, сказав Lifewire по електронній пошті, реагуючи на дослідження. «Я радий бачити, що, отримавши повідомлення, організації внесли зміни до свого кодексу, щоб припинити цю практику».
Увійдіть до витоку
Дослідження було проведено, щоб визначити, чи зловживають онлайн-трекери доступом до веб-форм. Дослідники вказують на а опитування де 81% респондентів визнали, що в якийсь момент відмовилися від онлайн-форм.
«Ми вважаємо, що збирати персональні дані з веб-форм для цілей відстеження перед подачею форми категорично суперечить очікуванням користувачів», – зазначають дослідники. «Ми хотіли виміряти цю поведінку, щоб оцінити її поширеність».
Загалом вони перевірили 2,8 мільйона сторінок на сайтах з найвищим рейтингом у світі. З них 1844 веб-сайти дозволяли трекерам вилучати адреси електронної пошти перед поданням, коли їх відвідували з Європи. Під час відвідування зі США кількість сайтів, які збирають інформацію до подання, зросла до 2950.
Дослідники відзначають, що в деяких випадках витік даних був, очевидно, ненавмисним, завдяки результатам дослідження було вирішено випадковий збір паролів на 52 веб-сайтах.
"Деякі веб-сайти сказали нам, що вони не знали про цей збір даних, і виправили проблему після нашого розкриття", - написали дослідники, які представить свої висновки на наступному Симпозіум з безпеки USENIX, в Бостоні, штат Массачусетс.
Залишатися в безпеці
Кріс Хаук, захист конфіденційності споживачів в Конфіденційність пікселів, сказав, що хоча витік даних відбувається з веб-сайтів, є кілька речей, які люди можуть зробити, щоб принаймні сповільнити витік даних.
«Користувачі можуть відвідати Electronic Frontier Foundation Закрийте свої сліди веб-сайт, щоб визначити, як засоби відстеження веб-сайтів бачать ваш браузер, показуючи, як сайти можуть відстежувати вас під час онлайн, і що ви можете зробити, щоб принаймні частково запобігти цьому», – запропонував Хаук Lifewire електронною поштою.
«Персональні дані та їхня вартість формують бізнес-модель для багатьох сучасних цифрових підприємств за останні 20+ років...»
Звичайна порада використовувати VPN для покриття ваших онлайн-треків не буде особливою користю для запобігання такого роду витоку. Hauk пропонує використовувати одноразову адресу електронної пошти, окрему від вашого звичайного особистого облікового запису електронної пошти, для використання на веб-сайтах, які запитують таку інформацію.
МакЕлрой попросив людей або використовувати веб-браузер, створений для конфіденційності, як-от Brave, або встановлювати доповнення конфіденційності, наприклад Конфіденційність Badger, у своєму звичайному браузері. Він також виступав за багатофакторну аутентифікацію, щоб мінімізувати шкоду від витоку пароля.
Крім того, дослідники розробили доповнення до браузера під назвою Інспектор витоків який попереджає та захищає від вилучення даних.
Економія даних
Висловлюючи своє здивування масштабами колекції, МакЕлрой сказав, що люди повинні це розуміти Дані, створені людиною, – це товар, який збиратиметься, ділиться, аналізується та використовується для багатьох цілі.
«У більшості випадків ці цілі не обов’язково є зловмисними (наприклад, обмін даними із стороннім рекламодавцем), однак потік між та між системи з різними рівнями безпеки роблять усіх споживачів уразливими та створюють дозрілий ландшафт для зловмисників», – пояснив. МакЕлрой.
Девід Рікард, технічний директор Північної Америки в Шифр, компанія Prosegur, вважає, що люди повинні вважати, що кожна форма, яку вони заповнюють в Інтернеті, зберігає дані поки триває введення даних, і кожна форма, яку вони заповнюють, стає власністю веб-сайту та перепродається сторонніми особами.
«Особисті дані та їхня вартість формують бізнес-модель для багатьох сучасних цифрових підприємств за останні 20+ років, навіть якщо їх конфіденційність політика чітко вказує, що вони не збирають PII [персональну інформацію] і не продають її», — сказав Ріккард Lifewire. електронна пошта.
Він сказав, що агрегатори даних обходять правила конфіденційності, збираючи кілька різних наборів даних, які можуть не включати назву, адресу тощо, які не є ідентифікаційними як такими, але якщо їх порівняти з сотнями додаткових точок даних з інших наборів даних, вони можуть ідентифікувати осіб із показником успіху понад 90%.
«Це створює послуги, які є чимось на зразок актуарних таблиць (або, як вважають, насправді є актуарними таблицями), що вказують на кредит гідність, страхування, можливість працевлаштування, ймовірність різних залежностей, вірогідні політичні та релігійні приналежності, як ви називаєте», – сказав Рікард.