Maaaring I-leak ng Ilang Website ang Iyong Data Bago Mo Ito Isumite

Talaan ng mga Nilalaman:

Maaaring I-leak ng Ilang Website ang Iyong Data Bago Mo Ito Isumite
Maaaring I-leak ng Ilang Website ang Iyong Data Bago Mo Ito Isumite
Anonim

Mga Key Takeaway

  • Nahanap ng mga mananaliksik ang libu-libong nangungunang website na kumukuha at nagbabahagi ng data ng form bago pa man pindutin ng mga user ang button na Isumite.
  • Ang koleksyon ay hindi palaging para sa mga layunin ng advertising, magmungkahi ng mga eksperto sa privacy.
  • Maraming website ang nagmamay-ari at nagtama ng mga pagkakamali, ngunit marami pa rin ang lumalabag sa mga panuntunan.
Image
Image

Nagiging mas tulin ang mga website sa pagkolekta at pagbabahagi ng iyong impormasyon.

Isang malawak na pag-aaral sa nangungunang 100, 000 na website ang nagsiwalat na maraming nag-leak na impormasyong ipinasok ng mga tao sa mga form ng site sa mga third-party na tagasubaybay bago pa man pinindot ng mga tao ang button na isumite. Nakakita ito ng libu-libong ganoong mga website na nag-leak ng lahat mula sa mga email address hanggang sa mga password, ngunit sa kabutihang palad, marami ang nag-ayos ng mga isyu kapag nakipag-ugnayan ang mga mananaliksik sa kanila.

"Nakakabahala na makita ang mga website na naglalabas ng mga password," sinabi ni Rick McElroy, Principal Cybersecurity Strategist sa VMware, sa Lifewire sa pamamagitan ng email, na tumugon sa pananaliksik. "Natutuwa akong makita na kapag naabisuhan na, gumawa ang mga organisasyon ng mga pagbabago sa kanilang code para ihinto ang kasanayang iyon."

Enter to Leak

Ang pag-aaral ay isinagawa upang matukoy kung ang mga online tracker ay gumagamit ng maling access sa mga web form. Itinuro ng mga mananaliksik ang isang survey kung saan 81% ng mga respondent ang umamin na abandunahin ang mga online na form sa isang punto.

"Naniniwala kami na labag sa inaasahan ng mga user na mangolekta ng personal na data mula sa mga web form para sa mga layunin ng pagsubaybay bago magsumite ng isang form," sabi ng mga mananaliksik. "Gusto naming sukatin ang gawi na ito para masuri ang pagkalat nito."

Image
Image

Sa kabuuan, sinubukan nila ang 2.8 milyong pahina sa mga site na may pinakamataas na ranggo sa mundo. Sa mga ito, 1, 844 na website ang nagpapahintulot sa mga tagasubaybay na i-exfiltrate ang mga email address bago isumite, kapag binisita mula sa Europa. Kapag binisita mula sa US, ang bilang ng mga site na nangongolekta ng impormasyon bago isumite ay tumaas sa 2, 950.

Napansin ng mga mananaliksik na ang mga pag-leak ng data ay tila hindi sinasadya sa ilang pagkakataon, na may hindi sinasadyang pagkolekta ng password sa 52 website na naresolba salamat sa mga natuklasan ng pag-aaral.

"Sinabi sa amin ng ilang website na hindi nila alam ang pagkolekta ng data na ito at inayos ang isyu sa aming mga pagsisiwalat," isinulat ng mga mananaliksik, na magpapakita ng kanilang mga natuklasan sa paparating na USENIX Security Symposium, sa Boston, Massachusetts.

Manatiling Ligtas

Si Chris Hauk, consumer privacy champion sa Pixel Privacy, ay nagsabi na habang ang mga pag-leak ng data ay nagmumula sa mga website, may ilang bagay na maaaring gawin ng mga tao sa kanilang katapusan upang mapabagal man lang ang pag-leak ng data.

"Maaaring bisitahin ng mga user ang website ng Cover Your Tracks ng Electronic Frontier Foundation upang matukoy kung paano nakikita ng mga tagasubaybay ng website ang iyong browser, na nagpapakita kung paano ka masusubaybayan ng mga site habang online, at kung ano ang maaari mong gawin upang hindi bababa sa bahagyang maiwasan ito, " iminungkahi ni Hauk sa Lifewire sa email.

Personal na data at ang halaga nito ang bumubuo sa modelo ng negosyo para sa maraming modernong digital na negosyo sa nakalipas na 20+ taon…

Ang karaniwang payo ng paggamit ng VPN upang masakop ang iyong mga online na track ay hindi gaanong magagamit upang maiwasan ang ganitong uri ng pagtagas. Iminumungkahi ng Hauk ang paggamit ng isang disposable email address, na hiwalay sa iyong karaniwang personal na email account, para magamit sa mga website na humihingi ng ganoong impormasyon.

McElroy humiling sa mga tao na gumamit ng web browser na ginawa para sa privacy tulad ng Brave, o mag-install ng mga privacy add-on, gaya ng Privacy Badger, sa kanilang regular na browser. Iminungkahi din niya ang multi-factor authentication para mabawasan ang pinsala ng mga leak ng password.

Bukod pa rito, nakabuo ang mga mananaliksik ng proof-of-concept na browser add-on na tinatawag na Leak Inspector na nagbabala at nagpoprotekta laban sa data exfiltration.

Data Economy

Sa pagpapahayag ng kanyang sorpresa sa lawak ng koleksyon, sinabi ni McElroy na dapat maunawaan ng mga tao na ang data na nabuo ng tao ay isang kalakal na kokolektahin, ibabahagi, susuriin, at gagamitin para sa maraming layunin.

"Kadalasan ang mga layuning ito ay hindi nangangahulugang nakakahamak (tulad ng pagbabahagi ng data sa isang third-party na advertiser) gayunpaman, ang daloy sa pagitan at sa gitna ng mga system na may iba't ibang antas ng seguridad ay ginagawang mahina ang lahat ng mga mamimili at lumilikha ng isang hinog na tanawin para sa samantalahin ng mga umaatake, " paliwanag ni McElroy.

David Rickard, CTO North America sa Cipher, isang kumpanya ng Prosegur, ay iniisip na dapat isipin ng mga tao na ang bawat form na pinupunan nila sa internet ay nagse-save ng data habang isinasagawa ang data entry, at ang bawat form na pinupunan nila ay magiging pag-aari. ng website at muling ibinenta sa mga third-party.

"Ang personal na data at ang halaga nito ang bumubuo sa modelo ng negosyo para sa maraming modernong digital na negosyo sa nakalipas na 20+ taon, kahit na tahasang isinasaad ng kanilang mga patakaran sa privacy na hindi sila kumukuha ng PII [Personally Identifiable Information] at ibinebenta ito, " Sinabi ni Rickard sa Lifewire sa pamamagitan ng email.

Sabi niya, ginagawa ng mga aggregator ng data ang mga regulasyon sa privacy sa pamamagitan ng pagkolekta ng iba't ibang dataset na maaaring hindi kasama ang pangalan, address, atbp., na hindi ganoong PII, ngunit kapag itinugma sa daan-daang karagdagang data point mula sa iba pang mga dataset, matutukoy ang mga indibidwal na may rate ng tagumpay na higit sa 90%.

"Ito ay nagbubunga ng mga serbisyong tulad ng mga actuarial table (o pinaniniwalaang aktuwal na mga actuarial table) na nagsasaad ng pagiging karapat-dapat sa kredito, pagkakaseguro, kakayahang magamit, posibilidad ng iba't ibang pagkagumon, malamang na mga kaugnayan sa pulitika at relihiyon, pangalanan mo, " sabi ni Rickard.

Inirerekumendang: