Ключови изводи
- Изследователите откриха, че хиляди от водещите уебсайтове улавят и споделят данни от формуляри дори преди потребителите да натиснат бутона Изпращане.
- Колекцията не винаги е с рекламна цел, предполагат експерти по поверителността.
- Много уебсайтове признаха и коригираха грешките, но няколко все още се противопоставят на правилата.
Уебсайтовете стават все по-хитри в събирането и споделянето на вашата информация.
Обширно проучване на топ 100 000 уебсайта разкри, че много изтекла информация, която хората са въвели във формулярите на сайта към тракери на трети страни, преди хората дори да натиснат бутона за изпращане. Той откри хиляди такива уебсайтове, които изтекоха всичко - от имейл адреси до пароли, но за щастие много от тях коригираха проблемите, след като изследователите се свързаха с тях.
"Притеснително е да виждаме уебсайтове, които изпускат пароли", каза Рик МакЕлрой, главен стратег по киберсигурност във VMware, пред Lifewire по имейл, реагирайки на изследването. „Щастлив съм да видя, че след като бяха уведомени, организациите направиха промени в своя код, за да спрат тази практика.“
Влезте в Leak
Проучването е проведено, за да се определи дали онлайн тракерите злоупотребяват с достъпа до уеб формуляри. Изследователите посочват проучване, при което 81% от респондентите са признали, че са изоставили онлайн формулярите в даден момент.
„Вярваме, че е силно против очакванията на потребителите да събират лични данни от уеб формуляри за целите на проследяване преди изпращането на формуляр“, отбелязват изследователите. „Искахме да измерим това поведение, за да оценим разпространението му.“
Общо тестваха 2,8 милиона страници на сайтове с най-висок ранг в света. От тях 1844 уебсайта са позволили на тракерите да ексфилтрират имейл адреси преди изпращане, когато са били посетени от Европа. При посещение от САЩ броят на сайтовете, събиращи информация преди изпращане, се увеличи до 2950.
Изследователите отбелязват, че изтичането на данни очевидно е било неумишлено в някои случаи, като случайното събиране на пароли на 52 уебсайта е разрешено благодарение на констатациите на проучването.
"Някои уебсайтове ни казаха, че не са знаели за това събиране на данни и коригираха проблема след разкритията ни", пишат изследователите, които ще представят своите открития на предстоящия Симпозиум по сигурността на USENIX в Бостън, Масачузетс.
Бъдете в безопасност
Крис Хоук, защитник на поверителността на потребителите в Pixel Privacy, каза, че въпреки че изтичането на данни идва от уебсайтовете, има няколко неща, които хората могат да направят от своя страна, за да забавят поне изтичането на данни.йени
"Потребителите могат да посетят уебсайта Cover Your Tracks на Electronic Frontier Foundation, за да определят как проследяващите уебсайтове виждат браузъра ви, разкривайки как сайтовете могат да ви проследяват, докато сте онлайн, и какво можете да направите, за да предотвратите поне частично това", предложи Хаук на Lifewire по имейл.
Личните данни и тяхната стойност формират бизнес модела за много съвременни дигитални предприятия през последните 20+ години…
Обичайният съвет за използване на VPN за прикриване на вашите онлайн следи няма да е от голяма полза за предотвратяване на този вид изтичане. Hauk предлага да използвате имейл адрес за еднократна употреба, отделен от обичайния ви личен имейл акаунт, за използване на уебсайтове, които искат такава информация.
McElroy помоли хората или да използват уеб браузър, създаден за поверителност като Brave, или да инсталират добавки за поверителност, като Privacy Badger, в обикновения си браузър. Той също така се застъпи за многофакторно удостоверяване, за да се минимизират щетите от изтичане на пароли.
Освен това, изследователите са разработили добавка за браузър с доказателство за концепцията, наречена Leak Inspector, която предупреждава и защитава срещу кражба на данни.
Икономия на данни
Изразявайки изненадата си от степента на колекцията, Макелрой каза, че хората трябва да разберат, че генерираните от човека данни са стока, която ще бъде събирана, споделяна, анализирана и използвана за множество цели.
"През повечето време тези цели не са непременно злонамерени (като споделяне на данни с рекламодател трета страна), но потокът между и между системите с различни нива на сигурност прави всички потребители уязвими и създава зряла среда за нападателите, от които да се възползват, " обясни МакЕлрой.
Дейвид Рикард, технически директор за Северна Америка в Cipher, компания на Prosegur, смята, че хората трябва да приемат, че всеки формуляр, който попълват в интернет, запазва данни, докато се въвеждат данни, и всеки формуляр, който попълват, става собственост на уебсайта и препродаден на трети страни.
"Личните данни и тяхната стойност формират бизнес модела за много съвременни дигитални предприятия през последните 20+ години, дори ако техните политики за поверителност изрично посочват, че те не събират PII [лична информация] и не я продават, “каза Рикард пред Lifewire по имейл.
Той каза, че агрегаторите на данни заобикалят разпоредбите за поверителност, като събират няколко различни набора от данни, които може да не включват име, адрес и т.н., които не са PII като такива, но когато се съпоставят със стотици допълнителни точки от данни от други набори от данни, може да идентифицира лица с успеваемост над 90%.
"Това поражда услуги, които са нещо като актюерски таблици (или се смята, че всъщност са актюерски таблици), показващи кредитоспособност, застраховаемост, пригодност за наемане на работа, вероятност от различни зависимости, вероятни политически и религиозни връзки, каквото и да е, " каза Рикард.
