موارد مهم
- محققان هزاران وبسایت برتر را پیدا کردند که حتی قبل از اینکه کاربران دکمه ارسال را فشار دهند، دادههای فرم را جمعآوری و به اشتراک میگذارند.
- این مجموعه همیشه برای اهداف تبلیغاتی نیست، کارشناسان حفظ حریم خصوصی را پیشنهاد می کنند.
- بسیاری از وبسایتها مالکیت داشتند و اشتباهات را تصحیح کردند، اما تعدادی از آنها هنوز قوانین را نقض میکنند.
وب سایت ها در جمع آوری و به اشتراک گذاری اطلاعات شما ماهرانه تر می شوند.
یک مطالعه گسترده بر روی ۱۰۰،۰۰۰ وبسایت برتر نشان داد که بسیاری از افراد اطلاعات لو رفته را قبل از اینکه افراد دکمه ارسال را فشار دهند در فرمهای سایت به ردیابهای شخص ثالث وارد کردهاند.هزاران وبسایت از این قبیل را پیدا کرد که همه چیز را از آدرسهای ایمیل گرفته تا گذرواژهها فاش میکردند، هرچند خوشبختانه، بسیاری از آنها پس از تماس با محققان، مشکلات را برطرف کردند.
ریک مکالروی، استراتژیست اصلی امنیت سایبری در VMware، در واکنش به این تحقیق به لایفوایر از طریق ایمیل گفت: «این نگرانکننده است که میبینیم وبسایتها رمزهای عبور را فاش میکنند. "من خوشحالم که می بینم پس از اطلاع، سازمان ها تغییراتی در کد خود ایجاد کردند تا این عمل متوقف شود."
Enter to Leak
این مطالعه برای تعیین اینکه آیا ردیاب های آنلاین از دسترسی به فرم های وب سوء استفاده می کنند یا خیر انجام شد. محققان به نظرسنجی اشاره کردند که در آن 81٪ از پاسخ دهندگان اعتراف کردند که فرم های آنلاین را در مقطعی رها کرده اند.
محققان خاطرنشان کردند: «ما معتقدیم که جمعآوری دادههای شخصی از فرمهای وب برای اهداف ردیابی قبل از ارسال فرم، به شدت خلاف انتظارات کاربران است. ما میخواستیم این رفتار را برای ارزیابی شیوع آن اندازهگیری کنیم.»
در مجموع، آنها 2.8 میلیون صفحه را در بالاترین رتبه بندی سایت های جهان آزمایش کردند. از این تعداد، 1844 وبسایت به ردیابها اجازه میدادند آدرسهای ایمیل را قبل از ارسال، هنگام بازدید از اروپا، نفوذ کنند. وقتی از ایالات متحده بازدید شد، تعداد سایتهایی که قبل از ارسال اطلاعات جمعآوری میکردند به ۲۹۵۰ افزایش یافت.
محققان خاطرنشان می کنند که نشت داده ها ظاهراً در برخی موارد غیر عمدی بوده است، با جمع آوری رمز عبور تصادفی در 52 وب سایت به لطف یافته های این مطالعه حل شده است.
محققانی که یافتههای خود را در سمپوزیوم امنیتی USENIX در بوستون، ماساچوست ارائه خواهند کرد، نوشتند: «برخی از وبسایتها به ما گفتند که از این جمعآوری دادهها اطلاعی ندارند و با افشای ما مشکل را اصلاح کردند.»
ایمن بمانید
کریس هاوک، قهرمان حفظ حریم خصوصی مصرفکنندگان در Pixel Privacy، گفت که در حالی که اطلاعات درز از وبسایتها میآید، چند کار وجود دارد که مردم میتوانند حداقل برای کاهش سرعت نشت دادهها انجام دهند.
"کاربران می توانند از وب سایت Electronic Frontier Foundation Cover Your Tracks دیدن کنند تا تعیین کنند ردیاب های وب سایت چگونه مرورگر شما را می بینند، نشان می دهد که چگونه سایت ها می توانند شما را در حالت آنلاین ردیابی کنند، و چه کاری می توانید انجام دهید تا حداقل تا حدی از آن جلوگیری کنید." Lifewire از طریق ایمیل.
دادههای شخصی و ارزش آن، مدل کسبوکار بسیاری از شرکتهای دیجیتال مدرن را برای بیش از ۲۰ سال گذشته تشکیل میدهد…
توصیه معمول استفاده از VPN برای پوشش مسیرهای آنلاین شما برای جلوگیری از این نوع نشت مفید نخواهد بود. Hauk پیشنهاد میکند برای استفاده در وبسایتهایی که چنین اطلاعاتی را درخواست میکنند، از یک آدرس ایمیل یکبار مصرف جدا از حساب ایمیل شخصی معمولی خود استفاده کنید.
McElroy از مردم خواست که یا از یک مرورگر وب ساخته شده برای حفظ حریم خصوصی مانند Brave استفاده کنند یا افزونه های حفظ حریم خصوصی مانند Privacy Badger را در مرورگر معمولی خود نصب کنند. او همچنین از احراز هویت چند عاملی برای به حداقل رساندن آسیب نشت رمز عبور حمایت کرد.
علاوه بر این، محققان یک افزونه مرورگر اثبات مفهوم به نام Leak Inspector ایجاد کرده اند که هشدار می دهد و در برابر نفوذ داده ها محافظت می کند.
اقتصاد داده
با ابراز تعجب خود از گستردگی این مجموعه، مکالروی گفت مردم باید درک کنند که دادههای تولید شده توسط انسان کالایی است که جمعآوری، به اشتراک گذاشته، تجزیه و تحلیل و برای اهداف متعدد استفاده میشود.
بیشتر اوقات این اهداف لزوماً مخرب نیستند (مانند به اشتراک گذاری داده ها با یک تبلیغ کننده شخص ثالث) با این حال جریان بین و بین سیستم هایی با سطوح مختلف امنیتی همه مصرف کنندگان را آسیب پذیر می کند و یک چشم انداز کامل برای آنها ایجاد می کند. مک الروی توضیح داد که مهاجمان از آنها سوء استفاده کنند.
دیوید ریکارد، CTO آمریکای شمالی در Cipher، یک شرکت Prosegur، فکر می کند که مردم باید فرض کنند که هر فرمی که در اینترنت پر می کنند، داده ها را در حین ورود داده ها ذخیره می کند، و هر فرمی که پر می کنند به دارایی تبدیل می شود. از وب سایت و دوباره به اشخاص ثالث فروخته شد.
"داده های شخصی و ارزش آن مدل کسب و کار بسیاری از شرکت های دیجیتال مدرن را برای بیش از ۲۰ سال گذشته تشکیل می دهد، حتی اگر سیاست های حفظ حریم خصوصی آنها به صراحت بیان کند که PII [اطلاعات شناسایی شخصی] را جمع آوری نمی کنند و نمی فروشند، ریکارد از طریق ایمیل به Lifewire گفت.
او گفت که جمعآوریکنندههای داده با جمعآوری چندین مجموعه داده مختلف که ممکن است شامل نام، آدرس و غیره نباشند، در اطراف مقررات حفظ حریم خصوصی کار میکنند، که به خودی خود PII نیستند، اما وقتی با صدها نقطه داده اضافی از مجموعههای داده دیگر مطابقت داشته باشند. می تواند افرادی را با میزان موفقیت بالای 90% شناسایی کند.
"این منجر به خدماتی می شود که چیزی شبیه جداول اکچوئری هستند (یا اعتقاد بر این است که در واقع جداول اکچوئری هستند) که نشان دهنده شایستگی اعتبار، قابلیت بیمه، قابلیت استخدام، احتمال اعتیادهای مختلف، وابستگی های سیاسی و مذهبی احتمالی است، " ریکارد گفت.
