Ключевые выводы
- Исследователи обнаружили, что тысячи популярных веб-сайтов собирают данные форм и обмениваются ими еще до того, как пользователи нажимают кнопку «Отправить».
- Коллекция не всегда предназначена для рекламных целей, предполагают эксперты по конфиденциальности.
- Многие веб-сайты признали ошибки и исправили их, но некоторые все еще нарушают правила.
Веб-сайты становятся хитрее в сборе и обмене вашей информацией.
Обширное исследование 100 000 лучших веб-сайтов показало, что многие люди передавали информацию, которую люди вводили в формы сайта, в сторонние трекеры еще до того, как люди нажимали кнопку отправки. Были обнаружены тысячи таких веб-сайтов, которые сливали все, от адресов электронной почты до паролей, хотя, к счастью, многие исправили проблемы после того, как исследователи связались с ними..
«Вызывает тревогу то, что веб-сайты сливают пароли», - сказал Lifewire по электронной почте Рик МакЭлрой, главный специалист по стратегии кибербезопасности в VMware, отвечая на исследование. «Я рад видеть, что после уведомления организации внесли изменения в свой код, чтобы прекратить эту практику».
Войти в утечку
Исследование было проведено, чтобы определить, не злоупотребляют ли онлайн-трекеры доступом к веб-формам. Исследователи ссылаются на опрос, в котором 81% респондентов признались, что в какой-то момент отказывались от онлайн-форм.
«Мы считаем, что сбор личных данных из веб-форм для целей отслеживания перед отправкой формы категорически противоречит ожиданиям пользователей», - отметили исследователи. «Мы хотели измерить это поведение, чтобы оценить его распространенность».
В целом они протестировали 2,8 миллиона страниц на сайтах с самым высоким рейтингом в мире. Из них 1 844 веб-сайта позволяли трекерам эксфильтровать адреса электронной почты перед отправкой при посещении из Европы. При посещении из США количество сайтов, собирающих информацию перед отправкой, увеличилось до 2 950.
Исследователи отмечают, что в некоторых случаях утечки данных были явно непреднамеренными, а случайный сбор паролей на 52 веб-сайтах был устранен благодаря результатам исследования.
«Некоторые веб-сайты сообщили нам, что они не знали об этом сборе данных, и исправили проблему после того, как мы разгласили информацию», - написали исследователи, которые представят свои выводы на предстоящем симпозиуме по безопасности USENIX в Бостоне, штат Массачусетс.
Береги себя
Крис Хаук, поборник конфиденциальности потребителей в Pixel Privacy, сказал, что, хотя утечки данных происходят с веб-сайтов, есть несколько вещей, которые люди могут сделать со своей стороны, чтобы хотя бы замедлить утечку данных.
«Пользователи могут посетить веб-сайт Electronic Frontier Foundation Cover Your Tracks, чтобы определить, как трекеры веб-сайтов видят ваш браузер, узнать, как сайты могут отслеживать вас в Интернете, и что вы можете сделать, чтобы хотя бы частично предотвратить это», - предложил Хаук. Lifewire по электронной почте.
Персональные данные и их ценность составляют бизнес-модель многих современных цифровых предприятий за последние 20 с лишним лет…
Обычный совет использовать VPN для сокрытия своих онлайн-треков не поможет предотвратить такого рода утечку. Хаук предлагает использовать одноразовый адрес электронной почты отдельно от вашей обычной личной учетной записи электронной почты для использования на веб-сайтах, запрашивающих такую информацию.
МакЭлрой попросил людей либо использовать веб-браузер, созданный для конфиденциальности, такой как Brave, либо установить надстройки конфиденциальности, такие как Privacy Badger, в свой обычный браузер. Он также выступал за многофакторную аутентификацию, чтобы свести к минимуму ущерб от утечки паролей.
Кроме того, исследователи разработали экспериментальную надстройку для браузера под названием Leak Inspector, которая предупреждает и защищает от утечки данных.
Экономия данных
Выражая свое удивление масштабами сбора, МакЭлрой сказал, что люди должны понимать, что данные, созданные человеком, - это товар, который будет собираться, делиться, анализироваться и использоваться для различных целей.
В большинстве случаев эти цели не обязательно являются злонамеренными (например, обмен данными со сторонним рекламодателем), однако обмен данными между системами с различными уровнями безопасности делает всех потребителей уязвимыми и создает благоприятную почву для чтобы воспользоваться злоумышленниками», - объяснил МакЭлрой.
Дэвид Рикард, технический директор Cipher, компании Prosegur в Северной Америке, считает, что люди должны исходить из того, что каждая форма, которую они заполняют в Интернете, сохраняет данные, пока идет ввод данных, и каждая форма, которую они заполняют, становится собственностью. сайта и перепроданы третьим лицам.
"Личные данные и их ценность формируют бизнес-модель для многих современных цифровых предприятий на протяжении последних 20 с лишним лет, даже если в их политиках конфиденциальности прямо указано, что они не собирают PII [идентифицирующую личность информацию] и не продают ее, - сказал Рикард Lifewire по электронной почте.
Он сказал, что агрегаторы данных обходят правила конфиденциальности, собирая несколько разных наборов данных, которые могут не включать имя, адрес и т. д., которые не являются PII как таковыми, но при сопоставлении с сотнями дополнительных точек данных из других наборов данных, может идентифицировать людей с вероятностью успеха более 90%.
"Это приводит к появлению услуг, которые представляют собой что-то вроде актуарных таблиц (или, как считается, на самом деле актуарных таблиц), показывающих кредитоспособность, возможность страхования, возможность трудоустройства, вероятность различных зависимостей, вероятную политическую и религиозную принадлежность, что угодно," - сказал Рикард.
