Ključni podaci za van
- Istraživači su pronašli tisuće vrhunskih web stranica koje bilježe i dijele podatke obrazaca čak i prije nego što su korisnici pritisnuli gumb Pošalji.
- Zbirka nije uvijek u reklamne svrhe, predlažu stručnjaci za privatnost.
- Mnoge su web-lokacije prihvatile i ispravile pogreške, ali nekoliko njih i dalje prkosi pravilima.
Web stranice postaju sve vještije u prikupljanju i dijeljenju vaših podataka.
Opsežna studija o 100 000 najboljih web-mjesta otkrila je da su mnoge informacije koje su ljudi unijeli u obrasce na web-mjestu procurile trekerima trećih strana prije nego što su ljudi uopće pritisnuli gumb za slanje. Pronašao je tisuće takvih web stranica s kojih je procurilo sve, od adresa e-pošte do lozinki, iako su, srećom, mnoge riješile probleme nakon što su ih istraživači kontaktirali.
"Zabrinjavajuće je vidjeti web stranice koje otkrivaju lozinke", rekao je Rick McElroy, glavni strateg za kibernetičku sigurnost u VMwareu, putem e-pošte za Lifewire, reagirajući na istraživanje. "Sretan sam što vidim da su organizacije, nakon što su primile obavijest, promijenile svoj kod kako bi zaustavile tu praksu."
Enter to Leak
Studija je provedena kako bi se utvrdilo zloupotrebljavaju li online tragači pristup web obrascima. Istraživači ukazuju na anketu u kojoj je 81% ispitanika priznalo da je u nekom trenutku napustilo online obrasce.
"Vjerujemo da je prikupljanje osobnih podataka s web obrazaca u svrhu praćenja prije podnošenja obrasca izrazito suprotno očekivanjima korisnika", istaknuli su istraživači. "Htjeli smo izmjeriti ovo ponašanje kako bismo procijenili njegovu prevalenciju."
Sveukupno su testirali 2,8 milijuna stranica na svjetski visoko rangiranim stranicama. Od njih, 1844 web-mjesta omogućila su tragačima da eksfiltriraju adrese e-pošte prije podnošenja, kada su ih posjećivali iz Europe. Prilikom posjeta iz SAD-a, broj stranica koje prikupljaju informacije prije podnošenja povećao se na 2950.
Istraživači primjećuju da je curenje podataka očito bilo nenamjerno u nekim slučajevima, a slučajno prikupljanje lozinki na 52 web-mjesta razriješeno je zahvaljujući nalazima studije.
"Neke su nam web-stranice rekle da nisu bile svjesne ovog prikupljanja podataka i ispravile su problem nakon našeg otkrivanja", napisali su istraživači koji će svoja otkrića predstaviti na nadolazećem USENIX sigurnosnom simpoziju u Bostonu, Massachusetts.
Ostanite sigurni
Chris Hauk, pobornik privatnosti potrošača u tvrtki Pixel Privacy, rekao je da iako curenje podataka dolazi s web-mjesta, postoji nekoliko stvari koje ljudi mogu učiniti sa svoje strane kako bi barem usporili curenje podataka.
"Korisnici mogu posjetiti web-mjesto Cover Your Tracks Electronic Frontier Foundationa kako bi odredili kako uređaji za praćenje web-mjesta vide vaš preglednik, otkrivajući kako vas web-mjesta mogu pratiti dok ste na mreži i što možete učiniti da to barem djelomično spriječite", predložio je Hauk Lifewire putem e-pošte.
Osobni podaci i njihova vrijednost čine poslovni model za mnoga moderna digitalna poduzeća u posljednjih 20+ godina…
Uobičajeni savjet o korištenju VPN-a za prikrivanje vaših online tragova neće biti od velike koristi za sprječavanje ove vrste curenja. Hauk predlaže korištenje jednokratne adrese e-pošte, odvojene od vašeg uobičajenog osobnog računa e-pošte, za korištenje na web stranicama koje traže takve informacije.
McElroy je tražio od ljudi da ili koriste web-preglednik izgrađen za privatnost kao što je Brave, ili da instaliraju dodatke za privatnost, kao što je Privacy Badger, na svoj uobičajeni preglednik. Također se zalagao za multi-faktorsku autentifikaciju kako bi se smanjila šteta od curenja lozinki.
Osim toga, istraživači su razvili dodatak za preglednik s dokazom koncepta pod nazivom Leak Inspector koji upozorava i štiti od krađe podataka.
Podatkovna ekonomija
Izražavajući svoje iznenađenje opsegom prikupljanja, McElroy je rekao da ljudi moraju shvatiti da su podaci koje stvaraju ljudi roba koja će se prikupljati, dijeliti, analizirati i koristiti u više svrha.
"Uglavnom ove svrhe nisu nužno zlonamjerne (poput dijeljenja podataka s oglašivačem treće strane), međutim protok između i između sustava s različitim razinama sigurnosti čini sve potrošače ranjivima i stvara zrelo okruženje za napadači iskoristiti, " objasnio je McElroy.
David Rickard, tehnički direktor Sjeverne Amerike u Cipheru, tvrtki Prosegur, smatra da bi ljudi trebali pretpostaviti da svaki obrazac koji ispune na internetu sprema podatke dok je unos podataka u tijeku, a svaki obrazac koji ispune postaje vlasništvo web stranice i ponovno prodati trećim stranama.
"Osobni podaci i njihova vrijednost čine poslovni model za mnoga moderna digitalna poduzeća u posljednjih 20+ godina, čak i ako njihova pravila o privatnosti izričito navode da ne prikupljaju PII [osobne podatke] i ne prodaju ih, Rickard je rekao Lifewireu putem e-pošte.
Rekao je da agregatori podataka zaobilaze propise o privatnosti prikupljanjem nekoliko različitih skupova podataka koji možda ne uključuju ime, adresu itd., koji nisu PII kao takvi, ali kada se usporede sa stotinama dodatnih podatkovnih točaka iz drugih skupova podataka, može identificirati pojedince sa stopom uspješnosti od preko 90%.
"To dovodi do usluga koje su nešto poput aktuarskih tablica (ili se vjeruje da su zapravo aktuarske tablice) koje pokazuju kreditnu sposobnost, mogućnost osiguranja, zapošljivost, vjerojatnost različitih ovisnosti, vjerojatnu političku i vjersku pripadnost, kako god, " rekao je Rickard.
