Key takeaways
- Forskere fandt tusindvis af de bedste websteder, der fangede og delte formulardata, selv før brugerne trykkede på knappen Send.
- Samlingen er ikke altid til reklameformål, foreslår privatlivseksperter.
- Mange websteder ejede og rettede fejlene, men flere trodser stadig reglerne.
Websteder bliver mere smarte til at indsamle og dele dine oplysninger.
En omfattende undersøgelse af de 100.000 bedste websteder afslørede, at mange lækkede oplysninger, som folk indtastede i webstedsformularerne, til tredjeparts-trackere, før folk overhovedet trykkede på indsend-knappen. Den fandt tusindvis af sådanne websteder, der lækkede alt fra e-mail-adresser til adgangskoder, men heldigvis fik mange løst problemerne, da forskerne kontaktede dem.
"Det er bekymrende at se hjemmesider lække adgangskoder," sagde Rick McElroy, Principal Cybersecurity Strategist hos VMware, til Lifewire over e-mail, som reagerer på undersøgelsen. "Jeg er glad for at se, at organisationerne, når de først er blevet underrettet, har ændret deres kodeks for at stoppe denne praksis."
Enter to Leak
Undersøgelsen blev udført for at afgøre, om online-trackere misbruger adgang til webformularer. Forskerne peger på en undersøgelse, hvor 81 % af de adspurgte indrømmede at have opgivet onlineformularer på et tidspunkt.
"Vi mener, at det er stærkt imod brugernes forventninger at indsamle personlige data fra webformularer til sporingsformål før indsendelse af en formular," bemærkede forskerne. "Vi ønskede at måle denne adfærd for at vurdere dens udbredelse."
I alt testede de 2,8 millioner sider på verdens højest rangerende sider. Af disse tillod 1.844 websteder trackere at eksfiltrere e-mail-adresser før indsendelse, når de blev besøgt fra Europa. Ved besøg fra USA steg antallet af websteder, der indsamlede oplysninger før indsendelse til 2.950.
Forskerne bemærker, at datalækagen tilsyneladende var utilsigtet i nogle tilfælde, hvor tilfældig adgangskodeindsamling på 52 websteder blev løst takket være undersøgelsens resultater.
"Nogle websteder fort alte os, at de ikke var opmærksomme på denne dataindsamling og rettede op på problemet efter vores offentliggørelse," skrev forskerne, som vil præsentere deres resultater på det kommende USENIX Security Symposium i Boston, Massachusetts.
Hold dig sikker
Chris Hauk, forkæmper for forbrugerbeskyttelse hos Pixel Privacy, sagde, at selvom datalækkene kommer fra webstederne, er der et par ting, folk kan gøre for i det mindste at bremse datalækagen.
"Brugere kan besøge Electronic Frontier Foundations Cover Your Tracks-websted for at bestemme, hvordan webstedssporere ser din browser, og afslører, hvordan websteder kan spore dig, mens du er online, og hvad du kan gøre for i det mindste delvist at forhindre det," foreslog Hauk til Lifewire via e-mail.
Personlige data og deres værdi har dannet forretningsmodellen for mange moderne digitale virksomheder gennem de sidste 20 år…
Det sædvanlige råd om at bruge en VPN til at dække dine online-spor vil ikke være til megen nytte for at forhindre denne form for lækage. Hauk foreslår, at du bruger en engangs-e-mailadresse, adskilt fra din sædvanlige personlige e-mail-konto, til brug på websteder, der beder om sådanne oplysninger.
McElroy bad folk om enten at bruge en webbrowser, der er bygget til privatlivets fred som Brave, eller at installere tilføjelser til privatliv, såsom Privacy Badger, på deres almindelige browser. Han slog også til lyd for multifaktorgodkendelse for at minimere skaden ved adgangskodelækage.
Derudover har forskerne udviklet en proof-of-concept browser-tilføjelse kaldet Leak Inspector, der advarer og beskytter mod dataeksfiltrering.
Dataøkonomi
McElroy udtrykte sin overraskelse over omfanget af indsamlingen og sagde, at folk må forstå, at menneskeskabte data er en vare, der vil blive indsamlet, delt, analyseret og brugt til flere formål.
"Det meste af tiden er disse formål ikke nødvendigvis ondsindede (som at dele data med en tredjepartsannoncør), men strømmen mellem og mellem systemer med forskellige sikkerhedsniveauer gør alle forbrugere sårbare og skaber et modent landskab for angribere at drage fordel af," forklarede McElroy.
David Rickard, CTO North America hos Cipher, en Prosegur-virksomhed, mener, at folk bør antage, at hver formular, de udfylder på internettet, gemmer data, mens dataindtastning er i gang, og hver formular, de udfylder, bliver ejendomsretten af hjemmesiden og videresælges til tredjeparter.
"Personlige data og deres værdi har dannet forretningsmodellen for mange moderne digitale virksomheder i de sidste 20+ år, selvom deres privatlivspolitikker udtrykkeligt siger, at de ikke indsamler PII [Personlig Identificerbar Information] og sælger dem, " fort alte Rickard Lifewire via e-mail.
Han sagde, at dataaggregatorer arbejder uden om privatlivsbestemmelser ved at indsamle flere forskellige datasæt, der muligvis ikke inkluderer navn, adresse osv., som ikke er PII som sådan, men når de matches med hundredvis af yderligere datapunkter fra andre datasæt, kan identificere personer med en succesrate på over 90%.
"Dette giver anledning til tjenester, der ligner aktuarmæssige tabeller (eller menes faktisk at være aktuarmæssige tabeller), der angiver kreditværdighed, forsikringsevne, beskæftigelsesegnethed, sandsynlighed for forskellige afhængigheder, sandsynlige politiske og religiøse tilhørsforhold, you name it, " sagde Rickard.