Key takeaways
- Forskare hittade tusentals av de bästa webbplatserna som samlade in och delade formulärdata redan innan användarna tryckte på knappen Skicka.
- Samlingen är inte alltid för reklamsyften, föreslår sekretessexperter.
- Många webbplatser ägde och rättade till misstagen, men flera trotsar fortfarande reglerna.
Webbplatser blir smartare på att samla in och dela din information.
En omfattande studie av de 100 000 bästa webbplatserna avslöjade att många läckte information som personer skrev in i webbplatsformulären till tredjepartsspårare innan folk ens tryckte på knappen Skicka. Den hittade tusentals sådana webbplatser som läckte allt från e-postadresser till lösenord, men tack och lov fixade många problemen när forskarna kontaktade dem.
"Det är oroande att se webbplatser som läcker lösenord", sa Rick McElroy, rektor för cybersäkerhetsstrateg på VMware, till Lifewire via e-post och reagerade på forskningen. "Jag är glad att se att organisationerna när de blivit underrättade gjorde ändringar i sin kod för att stoppa den praxis."
Enter to Leak
Studien genomfördes för att avgöra om onlinespårare missbrukar åtkomst till webbformulär. Forskarna pekar på en undersökning där 81 % av de tillfrågade erkände att de övergav onlineformulär någon gång.
"Vi anser att det strider mot användarnas förväntningar att samla in personuppgifter från webbformulär för spårningsändamål innan de skickar in ett formulär", konstaterade forskarna. "Vi ville mäta det här beteendet för att bedöma dess prevalens."
Tot alt testade de 2,8 miljoner sidor på världens högst rankade sajter. Av dessa tillät 1 844 webbplatser spårare att exfiltrera e-postadresser innan de skickades in, när de besöktes från Europa. När de besöktes från USA ökade antalet webbplatser som samlade in information innan de skickades till 2 950.
Forskarna noterar att dataläckorna uppenbarligen var oavsiktliga i vissa fall, med tillfällig lösenordsinsamling på 52 webbplatser som löstes tack vare studiens resultat.
"Vissa webbplatser berättade för oss att de inte var medvetna om denna datainsamling och åtgärdade problemet efter våra avslöjande", skrev forskarna, som kommer att presentera sina resultat vid det kommande USENIX Security Symposium, i Boston, Massachusetts.
Stay Safe
Chris Hauk, konsumentskyddsmästare på Pixel Privacy, sa att även om dataläckorna kommer från webbplatserna finns det ett par saker som människor kan göra för att åtminstone bromsa dataläckorna.
"Användare kan besöka Electronic Frontier Foundations webbplats Cover Your Tracks för att avgöra hur webbplatsspårare ser din webbläsare, avslöjar hur webbplatser kan spåra dig när du är online och vad du kan göra för att åtminstone delvis förhindra det", föreslog Hauk till Lifewire via e-post.
Personliga data och dess värde utgör affärsmodellen för många moderna digitala företag under de senaste 20+ åren…
Det vanliga rådet att använda ett VPN för att täcka dina onlinespår kommer inte att vara till stor nytta för att förhindra denna typ av läckage. Hauk föreslår att du använder en engångs-e-postadress, separat från ditt vanliga personliga e-postkonto, för användning på webbplatser som ber om sådan information.
McElroy bad folk att antingen använda en webbläsare byggd för integritet som Brave, eller att installera sekretesstillägg, som Privacy Badger, i sin vanliga webbläsare. Han förespråkade också multifaktorautentisering för att minimera skadan av lösenordsläckor.
Dessutom har forskarna utvecklat ett proof-of-concept webbläsartillägg som heter Leak Inspector som varnar och skyddar mot dataexfiltrering.
Dataekonomi
McElroy uttryckte sin förvåning över omfattningen av insamlingen och sa att folk måste förstå att mänskligt genererad data är en vara som kommer att samlas in, delas, analyseras och användas för flera ändamål.
"För det mesta är dessa syften inte nödvändigtvis skadliga (som att dela data med en tredjepartsannonsör), men flödet mellan och mellan system med olika säkerhetsnivåer gör alla konsumenter sårbara och skapar ett moget landskap för angripare att dra nytta av", förklarade McElroy.
David Rickard, CTO North America på Cipher, ett Prosegur-företag, tycker att folk borde anta att varje formulär de fyller i på internet sparar data medan datainmatning pågår, och varje formulär de fyller i blir egendom av webbplatsen och säljs vidare till tredje part.
"Personlig data och dess värde utgör affärsmodellen för många moderna digitala företag under de senaste 20+ åren, även om deras integritetspolicy uttryckligen säger att de inte samlar in PII [Personally Identifierable Information] och säljer den, " berättade Rickard för Lifewire via e-post.
Han sa att datainsamlare arbetar kring integritetsbestämmelser genom att samla in flera olika datauppsättningar som kanske inte inkluderar namn, adress etc., som inte är PII som sådana, men när de matchas mot hundratals ytterligare datapunkter från andra datauppsättningar, kan identifiera individer med en framgångsfrekvens på över 90%.
"Detta ger upphov till tjänster som är något som liknar försäkringstekniska tabeller (eller tros faktiskt vara försäkringstekniska tabeller) som indikerar kreditvärdighet, försäkringsbarhet, anställningsbarhet, sannolikhet för olika beroenden, sannolikt politiska och religiösa tillhörigheter, du namnger det, " sa Rickard.