Հիմնական տանողներ
- Հետազոտողները գտել են հազարավոր լավագույն կայքերը, որոնք հավաքում և կիսում են ձևի տվյալները նույնիսկ նախքան օգտատերերի կողմից ուղարկել կոճակը:
- Հավաքածուն միշտ չէ, որ գովազդային նպատակներով է, առաջարկում են գաղտնիության փորձագետները:
- Բազմաթիվ կայքեր տնօրինել և ուղղել են սխալները, բայց մի քանիսը դեռևս հակասում են կանոններին:
Կայքերն ավելի խորամանկ են դառնում ձեր տեղեկությունները հավաքելու և տարածելու հարցում:
Լավագույն 100,000 կայքերի լայնածավալ ուսումնասիրությունը ցույց տվեց, որ շատ արտահոսած տեղեկությունները մարդիկ մուտքագրել են կայքի ձևաթղթերում երրորդ կողմի հետագծողներին, նախքան մարդիկ նույնիսկ սեղմել են ուղարկել կոճակը:Այն հայտնաբերել է հազարավոր նման կայքեր, որոնք արտահոսում են ամեն ինչ՝ էլփոստի հասցեներից մինչև գաղտնաբառեր, թեև, բարեբախտաբար, շատերը շտկել են խնդիրները, երբ հետազոտողները կապվել են նրանց հետ:
«Մտահոգիչ է տեսնել, որ կայքերից գաղտնաբառեր են արտահոսում», - ասել է VMware-ի կիբերանվտանգության գլխավոր ռազմավար Ռիկ Մաքելրոյը Lifewire-ին էլ.փոստի միջոցով՝ արձագանքելով հետազոտությանը: «Ես ուրախ եմ տեսնել, որ ծանուցվելուց հետո կազմակերպությունները փոփոխություններ են կատարել իրենց օրենսգրքում՝ դադարեցնելու այդ պրակտիկան»:
Մուտքագրեք արտահոսքի համար
Հետազոտությունն անցկացվել է պարզելու համար, թե արդյոք առցանց թրեյքերները չարաշահում են մուտքը վեբ ձևեր: Հետազոտողները մատնանշում են մի հարցում, որտեղ հարցվածների 81%-ը խոստովանել է, որ ինչ-որ պահի հրաժարվել է առցանց ձևաթղթերից:
«Մենք կարծում ենք, որ կտրականապես դեմ է օգտատերերի ակնկալիքներին՝ նախքան ձևը ներկայացնելը հետևելու նպատակով անձնական տվյալներ հավաքել վեբ ձևերից», - նշել են հետազոտողները: «Մենք ցանկանում էինք չափել այս վարքագիծը՝ դրա տարածվածությունը գնահատելու համար»:
Ամբողջությամբ նրանք փորձարկել են 2,8 միլիոն էջ աշխարհի ամենաբարձր վարկանիշ ունեցող կայքերում: Դրանցից 1844 վեբկայքեր թույլ են տվել թրեյքերներին գաղտնազերծել էլփոստի հասցեները նախքան ուղարկելը, երբ այցելում են Եվրոպայից: Երբ այցելեցին ԱՄՆ-ից, մինչ ներկայացումը տեղեկատվություն հավաքող կայքերի թիվն ավելացավ մինչև 2,950:
Հետազոտողները նշում են, որ տվյալների արտահոսքը, ըստ երևույթին, որոշ դեպքերում պատահական է եղել, գաղտնաբառերի պատահական հավաքումը 52 կայքերում լուծվել է հետազոտության արդյունքների շնորհիվ:
«Որոշ կայքեր մեզ ասացին, որ իրենք տեղյակ չեն այս տվյալների հավաքագրման մասին և շտկեցին խնդիրը մեր բացահայտումների հիման վրա», - գրել են հետազոտողները, ովքեր իրենց բացահայտումները կներկայացնեն առաջիկա USENIX անվտանգության սիմպոզիումում, Բոստոնում, Մասաչուսեթս::
Մնա ապահով
Քրիս Հաուկը, սպառողների գաղտնիության պաշտպանը Pixel Privacy-ում, ասաց, որ թեև տվյալների արտահոսքը գալիս է կայքերից, կան մի քանի բան, որ մարդիկ կարող են անել իրենց վերջում՝ տվյալների արտահոսքը գոնե դանդաղեցնելու համար:
«Օգտատերերը կարող են այցելել Electronic Frontier Foundation-ի «Cover Your Tracks» կայքը՝ որոշելու, թե ինչպես են կայքերի հետագծերը տեսնում ձեր զննարկիչը՝ բացահայտելով, թե ինչպես կարող են կայքերը հետևել ձեզ առցանց գտնվելու ժամանակ, և ինչ կարող եք անել՝ գոնե մասամբ դա կանխելու համար», - առաջարկել է Հաուկը: Lifewire էլփոստի միջոցով:
Անձնական տվյալները և դրանց արժեքը կազմում են բիզնես մոդել շատ ժամանակակից թվային ձեռնարկությունների համար վերջին 20+ տարիների ընթացքում…
Ձեր առցանց հետքերը ծածկելու համար VPN օգտագործելու սովորական խորհուրդը շատ օգտակար չի լինի այս տեսակի արտահոսքը կանխելու համար. Hauk-ն առաջարկում է օգտագործել միանգամյա օգտագործման էլ.փոստի հասցե՝ առանձնացված ձեր սովորական անձնական էլփոստի հաշվից՝ օգտագործելու համար այն կայքերում, որոնք պահանջում են նման տեղեկատվություն:
McElroy-ը մարդկանց խնդրեց կամ օգտագործել գաղտնիության համար ստեղծված վեբ բրաուզեր, ինչպիսին է Brave-ը, կամ տեղադրել գաղտնիության հավելումներ, ինչպիսին է Privacy Badger-ը, իրենց սովորական դիտարկիչում: Նա նաև պաշտպանեց բազմագործոն նույնականացումը՝ գաղտնաբառի արտահոսքի վնասը նվազագույնի հասցնելու համար:
Բացի այդ, հետազոտողները մշակել են «Leak Inspector» կոչվող բրաուզերի հայեցակարգի ապացուցման հավելումը, որը զգուշացնում և պաշտպանում է տվյալների արտազատումից:
Տվյալների տնտեսություն
Արտահայտելով իր զարմանքը հավաքածուի ծավալի վերաբերյալ՝ ՄակԷլրոյն ասաց, որ մարդիկ պետք է հասկանան, որ մարդու կողմից ստեղծված տվյալները ապրանք են, որոնք կհավաքվեն, կհամօգտագործվեն, վերլուծվեն և կօգտագործվեն բազմաթիվ նպատակներով:
«Շատ ժամանակ այդ նպատակները պարտադիր չէ, որ վնասակար լինեն (ինչպես երրորդ կողմի գովազդատուի հետ տվյալների փոխանակումը), սակայն տարբեր անվտանգության մակարդակ ունեցող համակարգերի միջև և դրանց միջև հոսքը բոլոր սպառողներին դարձնում է խոցելի և ստեղծում է հասուն լանդշաֆտ: հարձակվողները պետք է օգտվեն », - բացատրեց Մաքելրոյը:
Դեյվիդ Ռիկարդը, Հյուսիսային Ամերիկայի CTO Cipher, Prosegur ընկերությունում, կարծում է, որ մարդիկ պետք է ենթադրեն, որ յուրաքանչյուր ձև, որը նրանք լրացնում են ինտերնետում, պահպանում է տվյալները, մինչ տվյալների մուտքագրումն ընթացքի մեջ է, և յուրաքանչյուր ձև, որը նրանք լրացնում են, դառնում է սեփականություն: կայքից և վերավաճառվել երրորդ անձանց:
«Անձնական տվյալները և դրանց արժեքը կազմում են բիզնես մոդել շատ ժամանակակից թվային ձեռնարկությունների համար վերջին 20+ տարիների ընթացքում, նույնիսկ եթե նրանց գաղտնիության քաղաքականությունը բացահայտորեն նշում է, որ նրանք չեն հավաքում PII [Անձնական նույնականացման տվյալներ] և չեն վաճառում այն, Ռիկարդն էլփոստով հայտնել է Lifewire-ին:
Նա ասաց, որ տվյալների ագրեգատորներն աշխատում են գաղտնիության կանոնների շուրջ՝ հավաքելով մի քանի տարբեր տվյալների հավաքածուներ, որոնք կարող են չներառել անուն, հասցե և այլն, որոնք որպես այդպիսին PII չեն, բայց երբ համընկնում են այլ տվյալների հավաքածուների հարյուրավոր լրացուցիչ տվյալների հետ: կարող է նույնականացնել 90%-ից ավելի հաջողության գործակից ունեցող անձանց։
«Սա առաջացնում է այնպիսի ծառայություններ, որոնք նման են ակտուարական աղյուսակների (կամ ենթադրվում է, որ իրականում ակտուարական աղյուսակներ են), որոնք ցույց են տալիս վարկային արժանիքները, ապահովագրականությունը, աշխատունակությունը, տարբեր կախվածությունների հավանականությունը, հավանական քաղաքական և կրոնական պատկանելությունը, ինչպես ասեք, « ասաց Ռիկարդը։
