Clau per emportar
- Els investigadors van trobar milers dels llocs web principals capturant i compartint dades de formularis fins i tot abans que els usuaris prement el botó Envia.
- La col·lecció no sempre és per a finalitats publicitàries, suggeriu experts en privadesa.
- Molts llocs web posseïen i corregeixen els errors, però molts encara desafien les regles.
Els llocs web són cada cop més astuts per recopilar i compartir la vostra informació.
Un ampli estudi sobre els 100.000 llocs web principals va revelar que moltes persones filtrades d'informació als formularis del lloc als rastrejadors de tercers abans que la gent prem el botó d'enviament. Va trobar milers de llocs web d'aquest tipus que filtraven tot, des d'adreces de correu electrònic fins a contrasenyes, encara que, afortunadament, molts van solucionar els problemes un cop els investigadors es van contactar amb ells.
"És preocupant veure llocs web filtrant contrasenyes", va dir Rick McElroy, estrateg principal de ciberseguretat de VMware, a Lifewire per correu electrònic, reaccionant a la investigació. "Estic content de veure que, un cop notificades, les organitzacions van fer canvis al seu codi per aturar aquesta pràctica."
Entra per filtrar
L'estudi es va dur a terme per determinar si els seguidors en línia fan malament l'accés als formularis web. Els investigadors assenyalen una enquesta on el 81% dels enquestats va admetre haver abandonat els formularis en línia en algun moment.
"Creiem que va molt en contra de les expectatives dels usuaris recollir dades personals de formularis web amb finalitats de seguiment abans d'enviar un formulari", van assenyalar els investigadors. "Volíem mesurar aquest comportament per avaluar-ne la prevalença."
En total, van provar 2,8 milions de pàgines als llocs més alts del món. D'aquests, 1.844 llocs web van permetre als seguidors extreure adreces de correu electrònic abans de l'enviament, quan es visitaven des d'Europa. Quan es va visitar des dels EUA, el nombre de llocs que recopilaven informació abans de l'enviament va augmentar a 2.950.
Els investigadors assenyalen que les filtracions de dades aparentment no van ser intencionades en alguns casos, i que la recollida de contrasenyes incidental en 52 llocs web es va resoldre gràcies a les conclusions de l'estudi.
"Alguns llocs web ens van dir que no eren conscients d'aquesta recollida de dades i van rectificar el problema després de les nostres revelacions", van escriure els investigadors, que presentaran les seves conclusions al proper Simposi de seguretat USENIX, a Boston, Massachusetts.
Mantingueu-vos segur
Chris Hauk, campió de la privadesa del consumidor a Pixel Privacy, va dir que, tot i que les filtracions de dades provenen dels llocs web, hi ha un parell de coses que la gent pot fer per, almenys, frenar les filtracions de dades.
"Els usuaris poden visitar el lloc web Cover Your Tracks d'Electronic Frontier Foundation per determinar com els rastrejadors de llocs web veuen el vostre navegador, revelant com els llocs us poden fer un seguiment mentre esteu en línia i què podeu fer per evitar-ho almenys parcialment", va suggerir Hauk. Lifewire per correu electrònic.
Les dades personals i el seu valor formen el model de negoci de moltes empreses digitals modernes durant els últims 20 anys…
Els consells habituals d'utilitzar una VPN per cobrir les vostres pistes en línia no seran de gaire utilitat per evitar aquest tipus de fuites. Hauk suggereix que utilitzeu una adreça de correu electrònic d'un sol ús, independent del vostre compte de correu electrònic personal habitual, per utilitzar-la en llocs web que demanen aquesta informació.
McElroy va demanar als usuaris que utilitzessin un navegador web creat per a la privadesa com Brave o que instal·lin complements de privadesa, com ara Privacy Badger, al seu navegador habitual. També va defensar l'autenticació multifactorial per minimitzar el dany de les filtracions de contrasenyes.
A més, els investigadors han desenvolupat un complement de navegador de prova de concepte anomenat Leak Inspector que adverteix i protegeix contra l'exfiltració de dades.
Economia de dades
Expressant la seva sorpresa per l'abast de la col·lecció, McElroy va dir que la gent ha d'entendre que les dades generades per humans són un bé que es recollirà, es compartirà, s'analitzarà i s'utilitzarà per a múltiples finalitats.
"La majoria de vegades, aquests propòsits no són necessàriament maliciosos (com ara compartir dades amb un anunciant de tercers), però el flux entre i entre sistemes amb diversos nivells de seguretat fa que tots els consumidors siguin vulnerables i crea un panorama madur per a atacants per aprofitar-los", va explicar McElroy.
David Rickard, CTO North America de Cipher, una empresa de Prosegur, creu que la gent hauria de suposar que tots els formularis que omplen a Internet estan estalviant dades mentre s'estan introduint dades, i cada formulari que omple passa a ser propietat. del lloc web i es torna a vendre a tercers.
"Les dades personals i el seu valor formen el model de negoci de moltes empreses digitals modernes durant els darrers 20 anys, encara que les seves polítiques de privadesa indiquen explícitament que no reuneixen PII [Informació d'identificació personal] i la venen. ", va dir Rickard a Lifewire per correu electrònic.
Va dir que els agregadors de dades treballen al voltant de les regulacions de privadesa recopilant diversos conjunts de dades diferents que poden no incloure nom, adreça, etc., que no són PII com a tal, però quan es comparen amb centenars de punts de dades addicionals d' altres conjunts de dades. pot identificar persones amb una taxa d'èxit superior al 90%.
"Això dóna lloc a serveis que s'assemblen a taules actuarials (o que es creu que són taules actuarials) que indiquen la solvència creditícia, l'assegurança, l'ocupabilitat, la probabilitat de diferents addiccions, les afiliacions polítiques i religioses probables, com siga, " va dir en Rickard.
