מזונות חשובים
- חוקרים מצאו אלפי אתרי אינטרנט מובילים לוכדים ומשתפים נתוני טופס עוד לפני שמשתמשים לחצו על כפתור השליחה.
- האוסף אינו תמיד למטרות פרסום, הציעו מומחי פרטיות.
- אתרים רבים היו בבעלותם ותיקנו את הטעויות, אבל כמה מהם עדיין מתנגדים לכללים.
אתרים הופכים ערמוניים יותר באיסוף ושיתוף המידע שלך.
מחקר מקיף על 100,000 האתרים המובילים גילה שאנשים רבים הדליפו מידע שאנשים הזינו בטפסי האתר לעוקבים של צד שלישי לפני שאנשים אפילו לחצו על כפתור השליחה.הוא מצא אלפי אתרים כאלה שהדליפו הכל, החל מכתובות אימייל ועד סיסמאות, אם כי למרבה המזל, רבים תיקנו את הבעיות ברגע שהחוקרים יצרו איתם קשר.
"זה מדאיג לראות אתרים מדליפים סיסמאות", אמר ריק מקלרוי, אסטרטג אבטחת סייבר ראשי ב-VMware, ל-Lifewire בדוא"ל, בתגובה למחקר. "אני שמח לראות שברגע שקיבלו הודעה, הארגונים ערכו שינויים בקוד שלהם כדי להפסיק את הנוהג הזה."
Enter to Leak
המחקר נערך כדי לקבוע אם עוקבים מקוונים משתמשים לרעה בגישה לטפסי אינטרנט. החוקרים מצביעים על סקר שבו 81% מהמשיבים הודו שנטשו טפסים מקוונים בשלב מסוים.
"אנו מאמינים שזה נוגד בתוקף את ציפיות המשתמשים לאסוף נתונים אישיים מטפסי אינטרנט למטרות מעקב לפני שליחת טופס", ציינו החוקרים. "רצינו למדוד את ההתנהגות הזו כדי להעריך את השכיחות שלה."
בסך הכל, הם בדקו 2.8 מיליון דפים באתרים בעלי הדירוג הגבוה ביותר בעולם. מתוכם, 1,844 אתרים אפשרו לעוקבים לסנן כתובות דוא"ל לפני ההגשה, כשהם ביקרו מאירופה. בביקור מארה"ב, מספר האתרים שאוספים מידע לפני ההגשה גדל ל-2, 950.
החוקרים מציינים כי דליפות הנתונים היו ככל הנראה לא מכוונות במקרים מסוימים, כאשר איסוף סיסמאות מקרית ב-52 אתרים נפתרה הודות לממצאי המחקר.
"כמה אתרים אמרו לנו שהם לא מודעים לאיסוף הנתונים הזה ותיקנו את הבעיה עם החשיפה שלנו", כתבו החוקרים, שיציגו את ממצאיהם בסימפוזיון USENIX האבטחה הקרוב, בבוסטון, מסצ'וסטס.
הישאר בטוח
כריס Hauk, אלוף פרטיות הצרכנים ב-Pixel Privacy, אמר שבעוד שדליפות הנתונים מגיעות מהאתרים, יש כמה דברים שאנשים יכולים לעשות כדי לפחות להאט את דליפות הנתונים.
"משתמשים יכולים לבקר באתר Cover Your Tracks של Electronic Frontier Foundation כדי לקבוע כיצד עוקבי אתרים רואים את הדפדפן שלך, חושפים כיצד אתרים יכולים לעקוב אחריך בזמן שאתה מקוון, ומה אתה יכול לעשות כדי למנוע זאת לפחות חלקית", הציע Hauk ל Lifewire בדוא"ל.
נתונים אישיים והערך שלהם מהווים את המודל העסקי עבור ארגונים דיגיטליים מודרניים רבים במשך 20+ השנים האחרונות…
העצה הרגילה של שימוש ב-VPN כדי לכסות את המסלולים המקוונים שלך לא תועיל במיוחד כדי למנוע דליפה מסוג זה. Hauk מציע להשתמש בכתובת דוא"ל חד פעמית, נפרדת מחשבון הדוא"ל האישי הרגיל שלך, לשימוש באתרים המבקשים מידע כזה.
McElroy ביקש מאנשים להשתמש בדפדפן אינטרנט שנבנה לפרטיות כמו Brave, או להתקין תוספות פרטיות, כגון Privacy Badger, בדפדפן הרגיל שלהם. הוא גם דגל באימות רב-גורמי כדי למזער את הנזק של דליפות סיסמאות.
בנוסף, החוקרים פיתחו תוסף לדפדפן הוכחת קונספט בשם Leak Inspector שמזהיר ומגן מפני חילוץ נתונים.
כלכלת נתונים
הביע את הפתעתו מהיקף האיסוף, אמר מקאלרוי שאנשים חייבים להבין שמידע שנוצר על ידי אדם הוא מצרך שייאסף, שותף, ינותח וישתמש בו למטרות מרובות.
"לרוב המטרות הללו אינן בהכרח זדוניות (כמו שיתוף נתונים עם מפרסם צד שלישי), אולם הזרימה בין ובין מערכות עם רמות אבטחה שונות הופכת את כל הצרכנים לפגיעים ויוצרת נוף בשל תוקפים לנצל", הסביר מקלרוי.
דיוויד ריקארד, CTO North America ב-Cipher, חברת Prosegur, חושב שאנשים צריכים להניח שכל טופס שהם ממלאים באינטרנט שומר נתונים בזמן שהזנת הנתונים מתבצעת, וכל טופס שהם ממלאים הופך לנכס של האתר ונמכר מחדש לצדדים שלישיים.
"הנתונים האישיים והערך שלהם מהווים את המודל העסקי של ארגונים דיגיטליים מודרניים רבים במשך 20+ השנים האחרונות, גם אם מדיניות הפרטיות שלהם קובעת במפורש שהם לא אוספים PII [מידע מזהה אישי] ומוכרים אותו, " אמר ריקארד ל-Lifewire במייל.
הוא אמר שצוברי נתונים פועלים סביב תקנות הפרטיות על ידי איסוף מספר מערכי נתונים שונים שעשויים לא לכלול שם, כתובת וכו', שאינם PII ככאלה, אלא כשהם מתאימים למאות נקודות נתונים נוספות ממערכי נתונים אחרים, יכול לזהות אנשים עם אחוזי הצלחה של למעלה מ-90%.
"זה מוביל לשירותים שהם משהו כמו טבלאות אקטואריות (או מאמינים שהם למעשה טבלאות אקטואריות) המצביעים על ערך אשראי, יכולת ביטוח, יכולת תעסוקה, סבירות להתמכרויות שונות, השתייכות פוליטית ודתית סבירות, אתה שם את זה, " אמר ריקארד.
