Klíčové poznatky
- Výzkumníci našli tisíce nejlepších webových stránek, které zachycují a sdílejí data formulářů ještě předtím, než uživatelé stiskli tlačítko Odeslat.
- Sbírka není vždy určena pro reklamní účely, doporučují odborníci na ochranu soukromí.
- Mnoho webů vlastní a opravuje chyby, ale některé stále porušují pravidla.
Webové stránky jsou stále rafinovanější ve shromažďování a sdílení vašich informací.
Rozsáhlá studie o 100 000 nejnavštěvovanějších webových stránkách odhalila, že mnoho informací, které lidé zadali do formulářů stránek, uniklo do sledovacích zařízení třetích stran ještě předtím, než lidé vůbec stiskli tlačítko Odeslat. Našel tisíce takových webových stránek, ze kterých uniklo vše od e-mailových adres po hesla, i když naštěstí mnohé problémy vyřešily, jakmile je výzkumníci kontaktovali.
„Je znepokojivé vidět, jak weby prosakují hesla,“řekl Rick McElroy, hlavní stratég kybernetické bezpečnosti ve společnosti VMware, Lifewire e-mailem v reakci na výzkum. "Jsem rád, že jakmile byly organizace informovány, provedly změny ve svém kódu, aby tuto praxi zastavily."
Vstup do úniku
Studie byla provedena s cílem zjistit, zda online trackery zneužívají přístup k webovým formulářům. Výzkumníci poukazují na průzkum, kde 81 % respondentů přiznalo, že v určitém okamžiku opustili online formuláře.
„Věříme, že je silně proti očekávání uživatelů shromažďovat osobní údaje z webových formulářů pro účely sledování před odesláním formuláře,“poznamenali výzkumníci. "Chtěli jsme toto chování změřit, abychom vyhodnotili jeho prevalenci."
Celkem otestovali 2,8 milionu stránek na nejvýše hodnocených webech světa. Z toho 1 844 webů umožnilo sledovačům exfiltrovat e-mailové adresy před odesláním, když byly navštíveny z Evropy. Při návštěvě z USA se počet stránek shromažďujících informace před odesláním zvýšil na 2 950.
Výzkumníci poznamenávají, že úniky dat byly v některých případech zjevně neúmyslné, přičemž náhodné shromažďování hesel na 52 webových stránkách bylo vyřešeno díky zjištěním studie.
"Některé webové stránky nám řekly, že o tomto sběru dat nevěděly, a po našem odhalení problém napravily," napsali vědci, kteří svá zjištění představí na nadcházejícím USENIX Security Symposium v Bostonu, Massachusetts.
Zůstaňte v bezpečí
Chris Hauk, šampion ochrany osobních údajů spotřebitelů ve společnosti Pixel Privacy, řekl, že i když k únikům dat dochází z webových stránek, existuje několik věcí, které mohou lidé ze své strany udělat, aby úniky dat alespoň zpomalili.
„Uživatelé mohou navštívit webovou stránku Cover Your Tracks Electronic Frontier Foundation a zjistit, jak sledovači webových stránek vidí váš prohlížeč, odhalit, jak vás stránky mohou sledovat, když jste online, a co můžete udělat, abyste tomu alespoň částečně zabránili,“navrhl Hauk Lifewire přes e-mail.
Osobní data a jejich hodnota tvoří obchodní model mnoha moderních digitálních podniků za posledních 20+ let…
Obvyklá rada používat VPN k pokrytí vašich online stop nebude moc užitečná, aby se zabránilo tomuto druhu úniku. Hauk navrhuje používat jednorázovou e-mailovou adresu, oddělenou od vašeho obvyklého osobního e-mailového účtu, pro použití na webech, které takové informace požadují.
McElroy požádal lidi, aby buď používali webový prohlížeč vytvořený pro ochranu soukromí, jako je Brave, nebo aby si do svého běžného prohlížeče nainstalovali doplňky pro ochranu soukromí, jako je Privacy Badger. Prosazoval také vícefaktorovou autentizaci, aby se minimalizovalo poškození způsobené únikem hesla.
Výzkumníci navíc vyvinuli doplněk prohlížeče pro ověření konceptu s názvem Leak Inspector, který varuje a chrání před exfiltrací dat.
Datová ekonomika
McElroy vyjádřil své překvapení nad rozsahem shromažďování a řekl, že lidé musí pochopit, že data vytvořená lidmi jsou komodita, která bude shromažďována, sdílena, analyzována a používána pro různé účely.
Většinou tyto účely nemusí být nutně škodlivé (jako je sdílení dat s inzerentem třetí strany), ale tok mezi systémy a mezi systémy s různou úrovní zabezpečení činí všechny spotřebitele zranitelnými a vytváří zralé prostředí pro útočníků využít,“vysvětlil McElroy.
David Rickard, CTO North America ve společnosti Cipher, společnosti Prosegur, si myslí, že lidé by měli předpokládat, že každý formulář, který vyplní na internetu, ukládá data, zatímco probíhá zadávání dat, a každý formulář, který vyplní, se stává majetkem webu a znovu prodán třetím stranám.
"Osobní údaje a jejich hodnota tvoří obchodní model mnoha moderních digitálních podniků za posledních 20+ let, i když jejich zásady ochrany osobních údajů výslovně uvádějí, že neshromažďují PII [Personally Identifiable Information] a neprodávají je, “řekl Rickard Lifewire e-mailem.
Řekl, že agregátory dat obcházejí předpisy o ochraně osobních údajů tím, že shromažďují několik různých datových sad, které nemusí zahrnovat jméno, adresu atd., které jako takové nejsou PII, ale když se porovnávají se stovkami dalších datových bodů z jiných datových sad, dokáže identifikovat jednotlivce s úspěšností vyšší než 90 %.
"Z toho vznikají služby, které jsou něco jako pojistně-matematické tabulky (nebo se o nich předpokládá, že jsou skutečně pojistně-matematickými tabulkami) indikující úvěrovou způsobilost, pojistitelnost, zaměstnatelnost, pravděpodobnost různých závislostí, pravděpodobnou politickou a náboženskou příslušnost, jak si jen vzpomenete," řekl Rickard.
