Key Takeaway
- Penyelidik menemui beribu-ribu tapak web teratas yang menangkap dan berkongsi data borang walaupun sebelum pengguna menekan butang Serah.
- Koleksi ini tidak selalunya untuk tujuan pengiklanan, cadangkan pakar privasi.
- Banyak tapak web memiliki dan membetulkan kesilapan, tetapi beberapa masih melanggar peraturan.
Tapak web semakin licik dalam mengumpul dan berkongsi maklumat anda.
Kajian menyeluruh terhadap 100, 000 tapak web teratas mendedahkan bahawa banyak maklumat bocor yang dimasukkan orang dalam borang tapak kepada penjejak pihak ketiga sebelum orang ramai menekan butang serah. Ia menemui beribu-ribu tapak web sedemikian yang membocorkan segala-galanya daripada alamat e-mel hingga kata laluan, walaupun syukur, ramai yang membetulkan isu tersebut sebaik sahaja penyelidik menghubungi mereka.
"Adalah membimbangkan melihat laman web membocorkan kata laluan," Rick McElroy, Pakar Strategi Keselamatan Siber Utama di VMware, memberitahu Lifewire melalui e-mel, bertindak balas terhadap penyelidikan itu. "Saya gembira melihat bahawa sebaik sahaja diberitahu, organisasi membuat perubahan pada kod mereka untuk menghentikan amalan itu."
Masuk untuk Bocor
Kajian ini dijalankan untuk menentukan sama ada penjejak dalam talian menyalahgunakan akses kepada borang web. Para penyelidik menunjukkan tinjauan di mana 81% daripada responden mengaku meninggalkan borang dalam talian pada satu ketika.
"Kami percaya adalah sangat bertentangan dengan jangkaan pengguna untuk mengumpul data peribadi daripada borang web untuk tujuan penjejakan sebelum menyerahkan borang," kata para penyelidik. "Kami mahu mengukur tingkah laku ini untuk menilai kelazimannya."
Secara keseluruhannya, mereka menguji 2.8 juta halaman di tapak yang mempunyai kedudukan tertinggi di dunia. Daripada jumlah ini, 1, 844 tapak web membenarkan penjejak mengeluarkan alamat e-mel sebelum penyerahan, apabila dilawati dari Eropah. Apabila dilawati dari AS, bilangan tapak yang mengumpul maklumat sebelum penyerahan meningkat kepada 2, 950.
Para penyelidik mendapati bahawa kebocoran data nampaknya tidak disengajakan dalam beberapa keadaan, dengan pengumpulan kata laluan sampingan pada 52 tapak web diselesaikan berkat penemuan kajian.
"Sesetengah tapak web memberitahu kami bahawa mereka tidak mengetahui pengumpulan data ini dan membetulkan isu tersebut selepas pendedahan kami," tulis penyelidik, yang akan membentangkan penemuan mereka pada Simposium Keselamatan USENIX yang akan datang, di Boston, Massachusetts.
Kekal Selamat
Chris Hauk, juara privasi pengguna di Pixel Privacy, berkata walaupun kebocoran data datang daripada tapak web, terdapat beberapa perkara yang boleh dilakukan oleh orang ramai untuk sekurang-kurangnya memperlahankan kebocoran data.
"Pengguna boleh melawati tapak web Cover Your Tracks Yayasan Electronic Frontier untuk menentukan cara penjejak tapak web melihat penyemak imbas anda, mendedahkan cara tapak boleh menjejaki anda semasa dalam talian dan perkara yang boleh anda lakukan untuk sekurang-kurangnya sebahagiannya menghalangnya," Hauk mencadangkan kepada Lifewire melalui e-mel.
Data peribadi dan nilainya membentuk model perniagaan untuk banyak perusahaan digital moden selama 20+ tahun yang lalu…
Nasihat biasa menggunakan VPN untuk menutup laluan dalam talian anda tidak akan banyak digunakan untuk mengelakkan kebocoran seperti ini. Hauk mencadangkan menggunakan alamat e-mel pakai buang, berasingan daripada akaun e-mel peribadi biasa anda, untuk digunakan pada tapak web yang meminta maklumat sedemikian.
McElroy meminta orang ramai sama ada menggunakan penyemak imbas web yang dibina untuk privasi seperti Brave, atau memasang alat tambah privasi, seperti Privacy Badger, pada penyemak imbas biasa mereka. Dia juga menyokong pengesahan pelbagai faktor untuk meminimumkan kerosakan kebocoran kata laluan.
Selain itu, penyelidik telah membangunkan alat tambah penyemak imbas bukti konsep yang dipanggil Leak Inspector yang memberi amaran dan melindungi daripada penyusupan data.
Ekonomi Data
Sambil menyatakan rasa terkejutnya terhadap tahap pengumpulan, McElroy berkata orang ramai mesti memahami bahawa data yang dijana manusia ialah komoditi yang akan dikumpul, dikongsi, dianalisis dan digunakan untuk pelbagai tujuan.
"Kebanyakan masa tujuan ini tidak semestinya berniat jahat (seperti berkongsi data dengan pengiklan pihak ketiga) namun aliran antara dan antara sistem dengan pelbagai tahap keselamatan menjadikan semua pengguna terdedah dan mencipta landskap yang matang untuk penyerang untuk mengambil kesempatan, " jelas McElroy.
David Rickard, CTO Amerika Utara di Cipher, sebuah syarikat Prosegur, berpendapat bahawa orang ramai harus menganggap bahawa setiap borang yang mereka isi di Internet adalah menyimpan data semasa kemasukan data sedang dijalankan, dan setiap borang yang mereka isikan menjadi hak milik tapak web dan dijual semula kepada pihak ketiga.
"Data peribadi dan nilainya membentuk model perniagaan untuk banyak perusahaan digital moden selama 20+ tahun yang lalu, walaupun dasar privasi mereka secara jelas menyatakan bahawa mereka tidak mengumpulkan PII [Maklumat Pengenalan Peribadi] dan menjualnya, " Rickard memberitahu Lifewire melalui e-mel.
Beliau berkata pengagregat data bekerja mengikut peraturan privasi dengan mengumpulkan beberapa set data berbeza yang mungkin tidak termasuk nama, alamat, dsb., yang bukan PII seperti itu, tetapi apabila dipadankan dengan ratusan titik data tambahan daripada set data lain, boleh mengenal pasti individu dengan kadar kejayaan melebihi 90%.
"Ini menimbulkan perkhidmatan seperti jadual aktuari (atau dipercayai sebenarnya jadual aktuari) yang menunjukkan kelayakan kredit, kebolehinsurans, kebolehkerjaan, kemungkinan ketagihan yang berbeza, kemungkinan pertalian politik dan agama, nama anda, " kata Rickard.
