Ključni izsledki
- Raziskovalci so odkrili na tisoče vrhunskih spletnih mest, ki zajemajo in delijo podatke obrazcev, še preden so uporabniki pritisnili gumb Pošlji.
- Zbirka ni vedno v oglaševalske namene, predlagajo strokovnjaki za zasebnost.
- Mnoga spletna mesta so priznala napake in jih popravila, a več jih še vedno nasprotuje pravilom.
Spletna mesta postajajo vse spretnejša pri zbiranju in deljenju vaših podatkov.
Obsežna študija o 100.000 najboljših spletnih mestih je razkrila, da je veliko informacij, ki so jih ljudje vnesli v obrazce na spletnem mestu, sledilcem tretjih oseb razkrilo, preden so ljudje sploh pritisnili gumb za pošiljanje. Odkril je na tisoče takšnih spletnih mest, ki so razkrila vse od e-poštnih naslovov do gesel, čeprav so na srečo mnoga odpravila težave, ko so raziskovalci stopili v stik z njimi.
»Skrb vzbujajoče je videti, da spletna mesta razkrivajo gesla,« je za Lifewire po elektronski pošti povedal Rick McElroy, glavni strateg za kibernetsko varnost pri VMware, ki se je odzval na raziskavo. "Vesel sem, da so organizacije, ko so bile obveščene, spremenile svojo kodo, da bi ustavile to prakso."
Enter to Leak
Študija je bila izvedena, da bi ugotovili, ali spletni sledilci zlorabljajo dostop do spletnih obrazcev. Raziskovalci opozarjajo na raziskavo, v kateri je 81 % anketirancev priznalo, da so na neki točki opustili spletne obrazce.
"Menimo, da je zbiranje osebnih podatkov iz spletnih obrazcev za namene sledenja pred oddajo obrazca močno v nasprotju s pričakovanji uporabnikov," so opozorili raziskovalci. "Želeli smo izmeriti to vedenje, da bi ocenili njegovo razširjenost."
Skupno so testirali 2,8 milijona strani na najvišje uvrščenih spletnih mestih na svetu. Od teh je 1844 spletnih mest sledilcem omogočilo, da so pred oddajo izbrskali e-poštne naslove, ko so jih obiskali iz Evrope. Ob obisku iz ZDA se je število spletnih mest, ki zbirajo informacije pred oddajo, povečalo na 2950.
Raziskovalci ugotavljajo, da je bilo uhajanje podatkov v nekaterih primerih očitno nenamerno, pri čemer je bilo naključno zbiranje gesel na 52 spletnih mestih razrešeno zahvaljujoč ugotovitvam študije.
»Nekatera spletna mesta so nam sporočila, da niso vedela za to zbiranje podatkov, in so po naših razkritjih odpravila težavo,« so zapisali raziskovalci, ki bodo svoje ugotovitve predstavili na prihajajočem varnostnem simpoziju USENIX v Bostonu v Massachusettsu.
Ostani varen
Chris Hauk, zagovornik zasebnosti potrošnikov pri Pixel Privacy, je dejal, da medtem ko podatki uhajajo s spletnih mest, obstaja nekaj stvari, ki jih lahko ljudje naredijo na svoji strani, da vsaj upočasnijo uhajanje podatkov.
"Uporabniki lahko obiščejo spletno mesto Cover Your Tracks fundacije Electronic Frontier Foundation, da ugotovijo, kako sledilci spletnih mest vidijo vaš brskalnik, razkrijejo, kako vas lahko spletna mesta spremljajo, ko ste na spletu, in kaj lahko storite, da to vsaj delno preprečite," je Hauk predlagal Lifewire prek e-pošte.
Osebni podatki in njihova vrednost tvorijo poslovni model za mnoga sodobna digitalna podjetja v zadnjih 20+ letih…
Običajni nasvet o uporabi VPN-ja za prikrivanje vaših spletnih sledi ne bo veliko koristen za preprečevanje tovrstnega uhajanja. Hauk predlaga uporabo e-poštnega naslova za enkratno uporabo, ločenega od vašega običajnega osebnega e-poštnega računa, za uporabo na spletnih mestih, ki zahtevajo takšne podatke.
McElroy je prosil ljudi, naj uporabijo spletni brskalnik, ustvarjen za zasebnost, kot je Brave, ali naj v svoj običajen brskalnik namestijo dodatke za zasebnost, kot je Privacy Badger. Zavzel se je tudi za večfaktorsko avtentikacijo, da bi zmanjšali škodo zaradi uhajanja gesel.
Poleg tega so raziskovalci razvili dodatek za brskalnik z dokazilom koncepta, imenovan Leak Inspector, ki opozarja in ščiti pred izločitvijo podatkov.
Podatkovna ekonomija
Ko je McElroy izrazil presenečenje nad obsegom zbiranja, je dejal, da morajo ljudje razumeti, da so podatki, ki jih ustvarijo ljudje, dobrina, ki se bo zbirala, delila, analizirala in uporabljala za več namenov.
"Večinoma ti nameni niso nujno zlonamerni (na primer deljenje podatkov z oglaševalcem tretje osebe), vendar pretok med in med sistemi z različnimi stopnjami varnosti naredi vse potrošnike ranljive in ustvari zrelo okolje za napadalci izkoristiti, " je pojasnil McElroy.
David Rickard, tehnični direktor za Severno Ameriko pri Cipherju, podjetju Prosegur, meni, da bi morali ljudje domnevati, da vsak obrazec, ki ga izpolnijo na internetu, shranjuje podatke med vnosom podatkov in vsak obrazec, ki ga izpolnijo, postane last spletnega mesta in ponovno proda tretjim osebam.
"Osebni podatki in njihova vrednost tvorijo poslovni model za mnoga sodobna digitalna podjetja v zadnjih 20+ letih, čeprav njihova politika zasebnosti izrecno navaja, da ne zbirajo PII [osebnih podatkov] in jih ne prodajajo, « je Rickard povedal za Lifewire po elektronski pošti.
Rekel je, da zbiralniki podatkov zaobidejo predpise o zasebnosti tako, da zbirajo več različnih naborov podatkov, ki morda ne vključujejo imena, naslova itd., ki kot taki niso osebno določljivi podatki, a ko jih primerjajo s stotinami dodatnih podatkovnih točk iz drugih naborov podatkov, lahko identificira posameznike s stopnjo uspešnosti nad 90%.
"To povzroča storitve, ki so nekaj podobnega kot aktuarske tabele (ali domnevajo, da so dejansko aktuarske tabele), ki kažejo kreditno sposobnost, možnost zavarovanja, zaposljivost, verjetnost različnih zasvojenosti, verjetne politične in verske pripadnosti, če želite, " je rekel Rickard.
