Key Takeaways
- Istraživači su pronašli hiljade vrhunskih web stranica koje snimaju i dijele podatke obrasca čak i prije nego što su korisnici pritisnuli dugme Pošalji.
- Kolekcija nije uvijek u reklamne svrhe, predlažemo stručnjake za privatnost.
- Mnoge web stranice su posjedovale i ispravile greške, ali nekoliko ih još uvijek prkosi pravilima.
Web stranice postaju lukavije u prikupljanju i dijeljenju vaših informacija.
Opširno istraživanje o 100.000 najboljih web stranica otkrilo je da su mnoge informacije koje su procurile u obrasce stranice u trekere trećih strana prije nego što su ljudi čak i pritisnuli dugme za slanje. Pronađeno je na hiljade takvih web stranica koje su procurile sve, od adresa e-pošte do lozinki, iako su na sreću mnoge riješile probleme kada su ih istraživači kontaktirali.
"Zabrinjavajuće je vidjeti web stranice koje cure lozinke", rekao je Rick McElroy, glavni strateg za sajber sigurnost u VMware-u, za Lifewire putem e-pošte, reagirajući na istraživanje. "Sretan sam što vidim da su organizacije, nakon što su obaviještene, napravile promjene u svom kodu kako bi zaustavile tu praksu."
Unesite za curenje
Studija je sprovedena kako bi se utvrdilo da li onlajn tragači zloupotrebljavaju pristup web obrascima. Istraživači ukazuju na anketu u kojoj je 81% ispitanika priznalo da je u nekom trenutku napustilo online formulare.
"Vjerujemo da je snažno protiv očekivanja korisnika prikupljanje ličnih podataka iz web obrazaca u svrhu praćenja prije podnošenja obrasca", napominju istraživači. "Željeli smo izmjeriti ovo ponašanje kako bismo procijenili njegovu rasprostranjenost."
Ukupno su testirali 2,8 miliona stranica na sajtovima najvišeg ranga na svetu. Od toga, 1.844 web-stranice su dozvolile tragačima da eksfiltriraju adrese e-pošte prije slanja, kada ih posjećuju iz Evrope. Kada su posjetili iz SAD-a, broj lokacija koje prikupljaju informacije prije podnošenja porastao je na 2 950.
Istraživači primjećuju da je curenje podataka bilo očigledno nenamjerno u nekim slučajevima, uz slučajno prikupljanje lozinki na 52 web stranice koje je riješeno zahvaljujući nalazima studije.
"Neke web stranice su nam rekle da nisu bile svjesne ovog prikupljanja podataka i otklonile su problem nakon našeg otkrivanja", napisali su istraživači, koji će svoje nalaze predstaviti na predstojećem USENIX simpozijumu o sigurnosti, u Bostonu, Massachusetts.
Ostanite sigurni
Chris Hauk, šampion privatnosti potrošača u Pixel Privacy-u, rekao je da, iako curenje podataka dolazi sa web stranica, postoji nekoliko stvari koje ljudi mogu učiniti sa svoje strane kako bi barem usporili curenje podataka.
"Korisnici mogu posjetiti web stranicu Cover Your Tracks Fondacije Electronic Frontier kako bi utvrdili kako uređaji za praćenje web stranica vide vaš preglednik, otkrivajući kako vas stranice mogu pratiti dok ste na mreži i šta možete učiniti da to barem djelimično spriječite", predložio je Hauk Lifewire putem e-pošte.
Lični podaci i njihova vrijednost čine poslovni model za mnoga moderna digitalna preduzeća u posljednjih 20+ godina…
Uobičajeni savjeti o korištenju VPN-a za pokrivanje vaših internetskih tragova neće biti od velike koristi da spriječite ovu vrstu curenja. Hauk predlaže korištenje adrese e-pošte za jednokratnu upotrebu, odvojenu od vašeg uobičajenog ličnog računa e-pošte, za korištenje na web stranicama koje traže takve informacije.
McElroy je tražio od ljudi da ili koriste web pretraživač koji je napravljen za privatnost kao što je Brave, ili da instaliraju dodatke za privatnost, kao što je Privacy Badger, u svoj redovni pretraživač. Također se zalagao za višefaktorsku autentifikaciju kako bi se minimizirala šteta od curenja lozinki.
Pored toga, istraživači su razvili dodatak za preglednik sa dokazom koncepta pod nazivom Leak Inspector koji upozorava i štiti od eksfiltracije podataka.
Ekonomija podataka
Izražavajući svoje iznenađenje obimom prikupljanja, McElroy je rekao da ljudi moraju razumjeti da su podaci koje su generisali ljudi roba koja će se prikupljati, dijeliti, analizirati i koristiti u više namjena.
"U većini slučajeva ove svrhe nisu nužno zlonamjerne (kao što je dijeljenje podataka sa oglašivačem treće strane), međutim protok između i između sistema s različitim nivoima sigurnosti čini sve potrošače ranjivim i stvara zreli krajolik za napadači koje treba iskoristiti", objasnio je McElroy.
David Rickard, CTO North America u kompaniji Cipher, Prosegur, smatra da bi ljudi trebali pretpostaviti da svaki obrazac koji popune na internetu čuva podatke dok je unos podataka u toku, a svaki obrazac koji popune postaje vlasništvo web stranice i ponovno prodati trećim stranama.
"Lični podaci i njihova vrijednost čine poslovni model za mnoga moderna digitalna preduzeća u posljednjih 20+ godina, čak i ako njihova politika privatnosti eksplicitno navodi da ne prikupljaju PII [osobne podatke] i ne prodaju ih, “, rekao je Rickard za Lifewire putem e-pošte.
Rekao je da agregatori podataka zaobilaze propise o privatnosti prikupljanjem nekoliko različitih skupova podataka koji možda ne uključuju ime, adresu itd., koji kao takvi nisu PII, ali kada se uporede sa stotinama dodatnih tačaka podataka iz drugih skupova podataka, može identificirati pojedince sa stopom uspješnosti od preko 90%.
"Ovo dovodi do usluga koje su nešto poput aktuarskih tablica (ili se vjeruje da su zapravo aktuarske tablice) koje ukazuju na kreditnu sposobnost, osiguranje, zapošljivost, vjerovatnoću različitih ovisnosti, vjerovatne političke i vjerske pripadnosti, " rekao je Rickard.