Key takeaways
- Forskere fant tusenvis av de beste nettstedene som fanget og delte skjemadata selv før brukerne trykket på Send-knappen.
- Samlingen er ikke alltid for reklameformål, foreslår personverneksperter.
- Mange nettsteder eide og rettet opp feilene, men flere trosser fortsatt reglene.
Nettsteder blir stadig flinkere til å samle inn og dele informasjonen din.
En omfattende studie av de 100 000 beste nettstedene avslørte at mange lekket informasjon folk skrev inn i nettstedsskjemaene til tredjepartssporere før folk i det hele tatt trykket på send-knappen. Den fant tusenvis av slike nettsteder som lekket alt fra e-postadresser til passord, men heldigvis løste mange problemene når forskerne kontaktet dem.
"Det er bekymringsfullt å se nettsteder som lekker passord," sa Rick McElroy, rektor for cybersikkerhetsstrateg hos VMware, til Lifewire over e-post, og reagerte på undersøkelsen. "Jeg er glad for å se at når de ble varslet, gjorde organisasjonene endringer i koden for å stoppe denne praksisen."
Enter to Leak
Undersøkelsen ble utført for å avgjøre om nettsporere misbruker tilgang til nettskjemaer. Forskerne viser til en undersøkelse der 81 % av respondentene innrømmet å ha forlatt nettskjemaer på et tidspunkt.
"Vi mener det er sterkt mot brukernes forventninger å samle inn personlige data fra nettskjemaer for sporingsformål før innsending av et skjema," bemerket forskerne. "Vi ønsket å måle denne atferden for å vurdere utbredelsen."
I alt testet de 2,8 millioner sider på verdens høyest rangerte nettsteder. Av disse tillot 1 844 nettsteder sporere å eksfiltrere e-postadresser før innsending, når de ble besøkt fra Europa. Ved besøk fra USA økte antallet nettsteder som samler inn informasjon før innsending til 2 950.
Forskerne bemerker at datalekkasjene tilsynelatende var utilsiktede i noen tilfeller, med tilfeldig passordinnsamling på 52 nettsteder som ble løst takket være studiens funn.
"Noen nettsteder fort alte oss at de ikke var klar over denne datainnsamlingen og rettet opp problemet etter avsløringene våre," skrev forskerne, som vil presentere funnene sine på det kommende USENIX Security Symposium, i Boston, Massachusetts.
Hold deg trygg
Chris Hauk, forkjemper for personvern for forbrukere i Pixel Privacy, sa at mens datalekkasjene kommer fra nettsidene, er det et par ting folk kan gjøre for i det minste å bremse datalekkasjene.
"Brukere kan besøke Electronic Frontier Foundations Cover Your Tracks-nettsted for å finne ut hvordan nettstedsporere ser nettleseren din, og avsløre hvordan nettsteder kan spore deg mens du er online, og hva du kan gjøre for å i det minste delvis forhindre det," foreslo Hauk til Lifewire via e-post.
Personlige data og deres verdi danner forretningsmodellen for mange moderne digitale virksomheter de siste 20+ årene…
Det vanlige rådet om å bruke en VPN for å dekke sporene dine på nettet vil ikke være til stor nytte for å forhindre denne typen lekkasje. Hauk foreslår at du bruker en engangs-e-postadresse, atskilt fra din vanlige personlige e-postkonto, for bruk på nettsteder som ber om slik informasjon.
McElroy ba folk om enten å bruke en nettleser bygget for personvern som Brave, eller å installere personverntillegg, for eksempel Privacy Badger, i deres vanlige nettleser. Han tok også til orde for multifaktorautentisering for å minimere skaden ved passordlekkasjer.
I tillegg har forskerne utviklet et proof-of-concept nettlesertillegg k alt Leak Inspector som advarer og beskytter mot dataeksfiltrering.
Dataøkonomi
McElroy uttrykte sin overraskelse over omfanget av innsamlingen og sa at folk må forstå at menneskeskapte data er en vare som vil bli samlet inn, delt, analysert og brukt til flere formål.
For det meste er disse formålene ikke nødvendigvis ondsinnede (som å dele data med en tredjepartsannonsør), men flyten mellom og mellom systemer med ulike sikkerhetsnivåer gjør alle forbrukere sårbare og skaper et modent landskap for angripere å dra nytte av», forklarte McElroy.
David Rickard, CTO North America hos Cipher, et Prosegur-selskap, mener at folk bør anta at hvert skjema de fyller ut på internett lagrer data mens dataregistrering pågår, og hvert skjema de fyller ut blir eiendommen av nettstedet og videresolgt til tredjeparter.
"Personlige data og deres verdi danner forretningsmodellen for mange moderne digitale virksomheter de siste 20+ årene, selv om personvernreglene deres eksplisitt sier at de ikke samler inn PII [personlig identifiserbar informasjon] og selger den, " fort alte Rickard til Lifewire via e-post.
Han sa at dataaggregatorer jobber rundt personvernforskrifter ved å samle inn flere forskjellige datasett som kanskje ikke inkluderer navn, adresse osv., som ikke er PII som sådan, men når de matches mot hundrevis av ekstra datapunkter fra andre datasett, kan identifisere enkeltpersoner med en suksessrate på over 90%.
"Dette gir opphav til tjenester som er noe sånt som aktuartabeller (eller antas å være aktuarielle tabeller) som indikerer kredittverdighet, forsikringsevne, ansettelsesevne, sannsynlighet for forskjellige avhengigheter, sannsynlig politisk og religiøs tilknytning, alt mulig, " sa Rickard.
