Önemli Bilgiler
- Araştırmacılar, kullanıcılar Gönder düğmesine basmadan önce bile form verilerini yakalayan ve paylaşan en iyi binlerce web sitesini buldu.
- Koleksiyon her zaman reklam amaçlı değildir, gizlilik uzmanlarına önerin.
- Birçok web sitesi sahiplendi ve hataları düzeltti, ancak bazıları hala kurallara karşı çıkıyor.
Web siteleri, bilgilerinizi toplama ve paylaşma konusunda giderek daha hünerli hale geliyor.
En iyi 100.000 web sitesiyle ilgili kapsamlı bir araştırma, insanların daha gönder düğmesine basmadan önce site formlarına girdiği birçok bilginin üçüncü taraf izleyicilere sızdırıldığını ortaya çıkardı. E-posta adreslerinden şifrelere kadar her şeyi sızdıran bu tür binlerce web sitesi buldu, ancak neyse ki çoğu, araştırmacılar kendileriyle iletişime geçtiğinde sorunları çözdü.
VMware Baş Siber Güvenlik Stratejisti Rick McElroy, Lifewire'a e-posta yoluyla araştırmaya tepki göstererek, "Web sitelerinin parola sızdırdığını görmek endişe verici" dedi. "Bildirildikten sonra kuruluşların bu uygulamayı durdurmak için kodlarında değişiklik yaptığını görmekten mutluyum."
Sızıntıya Girin
Çalışma, çevrimiçi izleyicilerin web formlarına erişimi kötüye kullanıp kullanmadığını belirlemek için yapıldı. Araştırmacılar, ankete katılanların %81'inin bir noktada çevrimiçi formları terk ettiğini kabul ettiği bir ankete işaret ediyor.
Araştırmacılar, "Kullanıcıların bir formu göndermeden önce izleme amacıyla web formlarından kişisel veri toplamasının beklentilerine şiddetle karşı olduğuna inanıyoruz" dedi. "Yaygınlığını değerlendirmek için bu davranışı ölçmek istedik."
Toplamda, dünyanın en yüksek dereceli sitelerinde 2,8 milyon sayfayı test ettiler. Bunlardan 1.844 web sitesi, izleyicilerin Avrupa'dan ziyaret edildiğinde gönderilmeden önce e-posta adreslerini sızdırmasına izin verdi. ABD'den ziyaret edildiğinde, gönderilmeden önce bilgi toplayan sitelerin sayısı 2.950'ye yükseldi.
Araştırmacılar, bazı durumlarda veri sızıntılarının görünüşte kasıtsız olduğunu ve çalışmanın bulguları sayesinde 52 web sitesinde tesadüfi şifre toplamanın çözüldüğünü belirtiyor.
"Bazı web siteleri bize bu veri toplamadan haberdar olmadıklarını söyledi ve bizim açıklamamız üzerine sorunu düzeltti", diye yazdı araştırmacılar, Boston, Massachusetts'te yapılacak USENIX Güvenlik Sempozyumu'nda bulgularını sunacaklar.
Güvende Kalın
Pixel Privacy tüketici gizliliği şampiyonu Chris Hauk, veri sızıntıları web sitelerinden gelirken, insanların veri sızıntılarını en azından yavaşlatmak için yapabilecekleri birkaç şey olduğunu söyledi.
Kullanıcılar, web sitesi izleyicilerinin tarayıcınızı nasıl gördüğünü belirlemek için Electronic Frontier Foundation'ın Cover Your Tracks web sitesini ziyaret edebilir, sitelerin çevrimiçiyken sizi nasıl izleyebileceğini ve bunu en azından kısmen önlemek için neler yapabileceğinizi ortaya çıkarabilir,”diye önerdi Hauk E-posta üzerinden can teli.
Kişisel veriler ve değeri, son 20 yılı aşkın süredir birçok modern dijital kuruluş için iş modelini oluşturuyor…
Çevrimiçi izlerinizi kapatmak için bir VPN kullanmanın olağan tavsiyesi, bu tür sızıntıları önlemek için pek işe yaramaz. Hauk, bu tür bilgileri isteyen web sitelerinde kullanım için normal kişisel e-posta hesabınızdan ayrı, tek kullanımlık bir e-posta adresi kullanmanızı önerir.
McElroy, insanlardan ya Brave gibi gizlilik için oluşturulmuş bir web tarayıcısı kullanmalarını ya da Privacy Badger gibi gizlilik eklentilerini normal tarayıcılarına yüklemelerini istedi. Ayrıca parola sızıntılarının zarar görmesini en aza indirmek için çok faktörlü kimlik doğrulamayı savundu.
Ayrıca, araştırmacılar, veri hırsızlığına karşı uyaran ve koruyan Leak Inspector adlı bir kavram kanıtı tarayıcı eklentisi geliştirdiler.
Veri Ekonomisi
Toplamanın boyutuna şaşırdığını ifade eden McElroy, insanların insan tarafından üretilen verilerin toplanacak, paylaşılacak, analiz edilecek ve çok amaçlı kullanılacak bir meta olduğunu anlamaları gerektiğini söyledi.
"Çoğu zaman bu amaçların kötü amaçlı olması gerekmez (bir üçüncü taraf reklamverenle veri paylaşmak gibi), ancak çeşitli güvenlik seviyelerine sahip sistemler arasındaki ve sistemler arasındaki akış, tüm tüketicileri savunmasız hale getirir ve saldırganlardan faydalanmak için," diye açıkladı McElroy.
Bir Prosegur şirketi olan Cipher'da Kuzey Amerika CTO'su olan David Rickard, insanların internette doldurdukları her formun veri girişi devam ederken veri kaydettiğini ve doldurdukları her formun mülk haline geldiğini varsaymaları gerektiğini düşünüyor. ve üçüncü taraflara yeniden satıldı.
"Kişisel veriler ve değeri, son 20 yılı aşkın süredir birçok modern dijital kuruluş için iş modelini oluşturuyor, gizlilik politikalarında PII [Kişisel Olarak Tanımlanabilir Bilgiler] toplamadıklarını ve satmadıklarını açıkça belirtseler bile, " Rickard, Lifewire'a e-posta yoluyla söyledi.
Veri toplayıcıların, isim, adres vb. içermeyebilecek, ancak PII olmayan, ancak diğer veri kümelerinden yüzlerce ek veri noktasıyla eşleştirildiğinde birkaç farklı veri kümesi toplayarak gizlilik düzenlemeleri etrafında çalıştığını söyledi. başarı oranı %90'ın üzerinde olan bireyleri belirleyebilir.
"Bu, kredi değerliliğini, sigortalanabilirliği, istihdam edilebilirliği, farklı bağımlılık olasılığını, olası siyasi ve dini bağlantıları gösteren aktüeryal tablolar (veya aslında aktüeryal tablolar olduğuna inanılan) gibi hizmetlere yol açar, adını siz koyun, " dedi Rickard.
