Belangrijkste afhaalrestaurants
- Onderzoekers hebben duizenden van de beste websites gevonden die formuliergegevens vastleggen en delen, zelfs voordat gebruikers op de knop Verzenden drukten.
- De collectie is niet altijd voor reclamedoeleinden, raden privacy-experts aan.
- Veel websites waren eigenaar van en corrigeerden de fouten, maar een aantal tart nog steeds de regels.
Websites worden steeds slimmer in het verzamelen en delen van uw informatie.
Een uitgebreid onderzoek naar de top 100.000 websites onthulde dat veel gelekte informatie die mensen in de siteformulieren invoerden naar externe trackers voordat mensen zelfs maar op de verzendknop drukten. Het vond duizenden van dergelijke websites die alles lekten, van e-mailadressen tot wachtwoorden, maar gelukkig losten velen de problemen op nadat de onderzoekers contact met hen hadden opgenomen.
"Het is zorgwekkend om te zien dat websites wachtwoorden lekken", vertelde Rick McElroy, Principal Cybersecurity Strategist bij VMware, via e-mail aan Lifewire, als reactie op het onderzoek. "Ik ben blij om te zien dat de organisaties, nadat ze op de hoogte waren gesteld, wijzigingen in hun code hebben aangebracht om die praktijk te stoppen."
Enter naar Leak
Het onderzoek is uitgevoerd om te bepalen of online trackers de toegang tot webformulieren misbruiken. De onderzoekers wijzen op een enquête waarin 81% van de respondenten toegaf ooit online formulieren te hebben verlaten.
"We zijn van mening dat het sterk in strijd is met de verwachtingen van gebruikers om persoonlijke gegevens van webformulieren te verzamelen voor trackingdoeleinden voordat een formulier wordt ingediend", merkten de onderzoekers op. "We wilden dit gedrag meten om de prevalentie ervan te beoordelen."
In totaal hebben ze 2,8 miljoen pagina's getest op 's werelds best gerangschikte sites. Hiervan stonden 1.844 websites trackers toe om e-mailadressen te exfiltreren voordat ze werden ingediend, wanneer ze vanuit Europa werden bezocht. Bij een bezoek vanuit de VS nam het aantal sites dat informatie verzamelde vóór indiening toe tot 2.950.
De onderzoekers merken op dat de datalekken in sommige gevallen blijkbaar onbedoeld waren, waarbij het incidenteel verzamelen van wachtwoorden op 52 websites werd opgelost dankzij de bevindingen van het onderzoek.
"Sommige websites vertelden ons dat ze niet op de hoogte waren van deze gegevensverzameling en hebben het probleem verholpen na onze onthullingen", schreven de onderzoekers, die hun bevindingen zullen presenteren op het komende USENIX Security Symposium, in Boston, Massachusetts.
Blijf veilig
Chris Hauk, kampioen consumentenprivacy bij Pixel Privacy, zei dat hoewel de datalekken van de websites komen, er een aantal dingen zijn die mensen zelf kunnen doen om de datalekken in ieder geval te vertragen.
"Gebruikers kunnen de Cover Your Tracks-website van Electronic Frontier Foundation bezoeken om te bepalen hoe website-trackers uw browser zien, onthullen hoe sites u kunnen volgen terwijl u online bent, en wat u kunt doen om dit op zijn minst gedeeltelijk te voorkomen", stelde Hauk voor Lifewire via e-mail.
Persoonlijke gegevens en de waarde ervan vormen het bedrijfsmodel voor veel moderne digitale ondernemingen van de afgelopen 20+ jaar…
Het gebruikelijke advies om een VPN te gebruiken om je online sporen te verbergen, zal niet veel helpen om dit soort lekken te voorkomen. Hauk stelt voor om een wegwerp-e-mailadres te gebruiken, los van uw gebruikelijke persoonlijke e-mailaccount, voor gebruik op websites die om dergelijke informatie vragen.
McElroy vroeg mensen om ofwel een webbrowser te gebruiken die is gebouwd voor privacy, zoals Brave, of om privacy-add-ons, zoals Privacy Badger, in hun gewone browser te installeren. Hij pleitte ook voor multi-factor authenticatie om de schade door wachtwoordlekken te minimaliseren.
Bovendien hebben de onderzoekers een proof-of-concept browser-add-on ontwikkeld, Leak Inspector genaamd, die waarschuwt en beschermt tegen gegevensexfiltratie.
Data-economie
McElroy sprak zijn verbazing uit over de omvang van de verzameling en zei dat mensen moeten begrijpen dat door mensen gegenereerde gegevens een handelsartikel zijn dat voor meerdere doeleinden zal worden verzameld, gedeeld, geanalyseerd en gebruikt.
"Meestal zijn deze doeleinden niet per se kwaadaardig (zoals het delen van gegevens met een externe adverteerder), maar de stroom tussen en tussen systemen met verschillende beveiligingsniveaus maakt alle consumenten kwetsbaar en creëert een rijp landschap voor aanvallers om van te profiteren", legt McElroy uit.
David Rickard, CTO Noord-Amerika bij Cipher, een Prosegur-bedrijf, vindt dat mensen moeten aannemen dat elk formulier dat ze op internet invullen, gegevens opslaat terwijl de gegevensinvoer aan de gang is, en dat elk formulier dat ze invullen eigendom wordt van de website en doorverkocht aan derden.
"Persoonlijke gegevens en de waarde ervan vormen het bedrijfsmodel voor veel moderne digitale ondernemingen in de afgelopen 20+ jaar, zelfs als hun privacybeleid expliciet vermeldt dat ze geen PII [persoonlijk identificeerbare informatie] verzamelen en verkopen, " vertelde Rickard via e-mail aan Lifewire.
Hij zei dat data-aggregators de privacyregelgeving omzeilen door verschillende datasets te verzamelen die mogelijk geen naam, adres, enz. bevatten, die op zich geen PII zijn, maar wanneer ze worden vergeleken met honderden extra datapunten uit andere datasets, kan individuen identificeren met een slagingspercentage van meer dan 90%.
"Dit geeft aanleiding tot diensten die zoiets zijn als actuariële tabellen (of waarvan wordt aangenomen dat ze feitelijk actuariële tabellen zijn) die kredietwaardigheid, verzekerbaarheid, inzetbaarheid, waarschijnlijkheid van verschillende verslavingen, waarschijnlijke politieke en religieuze voorkeuren, noem maar op, " zei Rickard.