Kľúčové poznatky
- Výskumníci našli tisíce najlepších webových stránok, ktoré zachytávajú a zdieľajú údaje formulárov ešte predtým, ako používatelia stlačili tlačidlo Odoslať.
- Zbierka nie je vždy určená na reklamné účely, navrhnite odborníkov na ochranu súkromia.
- Mnoho webových stránok vlastní a opravuje chyby, no niektoré stále porušujú pravidlá.
Webové stránky sú čoraz rafinovanejšie v zhromažďovaní a zdieľaní vašich informácií.
Rozsiahla štúdia 100 000 najlepších webových stránok odhalila, že mnoho informácií, ktoré ľudia zadali do formulárov stránok, uniklo do sledovačov tretích strán ešte predtým, ako ľudia stlačili tlačidlo Odoslať. Našlo sa tisíce takýchto webových stránok, z ktorých uniklo všetko od e-mailových adries po heslá, no našťastie mnohé problémy vyriešili, keď ich výskumníci kontaktovali.
„Je znepokojujúce vidieť, ako webové stránky prepúšťajú heslá,“povedal Rick McElroy, hlavný stratég kybernetickej bezpečnosti spoločnosti VMware, prostredníctvom e-mailu Lifewire v reakcii na výskum. „Som rád, že po upozornení organizácie vykonali zmeny vo svojom kóde, aby túto prax zastavili.“
Vstúpte do úniku
Štúdia bola vykonaná s cieľom zistiť, či sledovače online zneužívajú prístup k webovým formulárom. Výskumníci poukazujú na prieskum, v ktorom 81 % respondentov priznalo, že v určitom okamihu opustili online formuláre.
„Sme presvedčení, že zhromažďovanie osobných údajov z webových formulárov na účely sledovania pred odoslaním formulára je v silnom rozpore s očakávaniami používateľov,“poznamenali výskumníci. "Chceli sme zmerať toto správanie, aby sme posúdili jeho prevalenciu."
Celkovo otestovali 2,8 milióna stránok na stránkach s najvyšším hodnotením sveta. Z toho 1 844 webových stránok umožnilo sledovačom exfiltrovať e-mailové adresy pred odoslaním pri návšteve z Európy. Pri návšteve z USA sa počet stránok zbierajúcich informácie pred odoslaním zvýšil na 2 950.
Výskumníci poznamenávajú, že úniky údajov boli v niektorých prípadoch zjavne neúmyselné, pričom náhodný zber hesiel na 52 webových stránkach bol vyriešený vďaka zisteniam štúdie.
"Niektoré webové stránky nám povedali, že o tomto zhromažďovaní údajov nevedeli a po našom zverejnení problém napravili," napísali výskumníci, ktorí svoje zistenia predstavia na nadchádzajúcom USENIX Security Symposium v Bostone, Massachusetts.
Zostaňte v bezpečí
Chris Hauk, šampión ochrany osobných údajov spotrebiteľov v Pixel Privacy, povedal, že aj keď k únikom údajov dochádza z webových stránok, existuje niekoľko vecí, ktoré môžu ľudia sami urobiť, aby úniky údajov aspoň spomalili.
„Používatelia môžu navštíviť webovú stránku Cover Your Tracks od Electronic Frontier Foundation, aby zistili, ako sledovatelia webových stránok vidia váš prehliadač, odhalia, ako vás môžu stránky sledovať, keď ste online, a čo môžete urobiť, aby ste tomu aspoň čiastočne zabránili,“navrhol Hauk Lifewire cez e-mail.
Osobné údaje a ich hodnota tvoria obchodný model mnohých moderných digitálnych podnikov za posledných 20+ rokov…
Zvyčajná rada o používaní siete VPN na pokrytie vašich online stôp nebude veľmi užitočná na zabránenie takémuto úniku. Hauk navrhuje použiť jednorazovú e-mailovú adresu, oddelenú od vášho bežného osobného e-mailového účtu, na použitie na webových stránkach, ktoré požadujú takéto informácie.
McElroy požiadal ľudí, aby buď používali webový prehliadač vytvorený na ochranu osobných údajov, ako je Brave, alebo aby si do svojho bežného prehliadača nainštalovali doplnky na ochranu osobných údajov, ako je Privacy Badger. Obhajoval tiež viacfaktorovú autentifikáciu, aby sa minimalizovali škody spôsobené únikmi hesiel.
Výskumníci navyše vyvinuli overovací doplnok prehliadača s názvom Leak Inspector, ktorý varuje a chráni pred únikom údajov.
Dátová ekonomika
McElroy vyjadril svoje prekvapenie nad rozsahom zberu a povedal, že ľudia musia pochopiť, že dáta generované ľuďmi sú komoditou, ktorá sa bude zbierať, zdieľať, analyzovať a používať na viaceré účely.
„Väčšinou tieto účely nemusia byť nevyhnutne škodlivé (napríklad zdieľanie údajov s inzerentom tretej strany), avšak tok medzi systémami a medzi systémami s rôznymi úrovňami zabezpečenia robí všetkých spotrebiteľov zraniteľnými a vytvára zrelé prostredie pre útočníkov využiť,“vysvetlil McElroy.
David Rickard, CTO North America v Cipher, spoločnosti Prosegur, si myslí, že ľudia by mali predpokladať, že každý formulár, ktorý vyplnia na internete, ukladá údaje, kým prebieha zadávanie údajov, a každý formulár, ktorý vyplnia, sa stane majetkom webovej stránky a ďalej predaný tretím stranám.
„Osobné údaje a ich hodnota tvoria obchodný model mnohých moderných digitálnych podnikov za posledných 20+ rokov, aj keď ich zásady ochrany osobných údajov výslovne uvádzajú, že nezhromažďujú PII [Personal Identifiable Information] a nepredávajú ich, “povedal Rickard Lifewire e-mailom.
Povedal, že agregátory údajov obchádzajú nariadenia o ochrane osobných údajov tým, že zhromažďujú niekoľko rôznych súborov údajov, ktoré nemusia obsahovať meno, adresu atď., ktoré ako také nie sú PII, ale keď sa porovnávajú so stovkami ďalších údajových bodov z iných súborov údajov, dokáže identifikovať jednotlivcov s úspešnosťou nad 90 %.
"To vedie k službám, ktoré sú niečo ako poistno-matematické tabuľky (alebo sa predpokladá, že sú to skutočne poistno-matematické tabuľky) označujúce úverovú bonitu, poistiteľnosť, zamestnateľnosť, pravdepodobnosť rôznych závislostí, pravdepodobnú politickú a náboženskú príslušnosť," povedal Rickard.