Bài học rút ra chính
- Các nhà nghiên cứu đã tìm thấy hàng nghìn trang web hàng đầu thu thập và chia sẻ dữ liệu biểu mẫu ngay cả trước khi người dùng nhấn nút Gửi.
- Bộ sưu tập không phải lúc nào cũng dành cho mục đích quảng cáo, hãy đề xuất các chuyên gia về quyền riêng tư.
- Nhiều trang web đã sở hữu và sửa lỗi, nhưng một số trang web vẫn bất chấp các quy tắc.
Các trang web ngày càng trở nên khéo léo hơn trong việc thu thập và chia sẻ thông tin của bạn.
Một nghiên cứu sâu rộng về 100.000 trang web hàng đầu đã tiết lộ rằng nhiều thông tin bị rò rỉ mà mọi người đã nhập trong trang web biểu mẫu cho các trình theo dõi của bên thứ ba trước khi mọi người nhấn nút gửi. Nó đã tìm thấy hàng nghìn trang web như vậy đã làm rò rỉ mọi thứ từ địa chỉ email đến mật khẩu, mặc dù rất may, nhiều trang đã khắc phục được sự cố sau khi các nhà nghiên cứu liên hệ với họ.
"Thật đáng lo ngại khi thấy các trang web bị rò rỉ mật khẩu", Rick McElroy, Nhà chiến lược An ninh Mạng chính tại VMware, nói với Lifewire qua email, phản ứng với nghiên cứu. "Tôi rất vui khi thấy rằng sau khi được thông báo, các tổ chức đã thực hiện các thay đổi đối với mã của họ để ngừng hoạt động đó."
Nhập để Rò rỉ
Nghiên cứu được thực hiện để xác định xem liệu các trình theo dõi trực tuyến có lạm dụng quyền truy cập vào các biểu mẫu web hay không. Các nhà nghiên cứu chỉ ra một cuộc khảo sát trong đó 81% người được hỏi thừa nhận đã từ bỏ các biểu mẫu trực tuyến tại một số thời điểm.
"Chúng tôi tin rằng việc thu thập dữ liệu cá nhân từ các biểu mẫu web cho mục đích theo dõi trước khi gửi biểu mẫu hoàn toàn chống lại mong đợi của người dùng", các nhà nghiên cứu lưu ý. "Chúng tôi muốn đo lường hành vi này để đánh giá mức độ phổ biến của nó."
Tổng cộng, họ đã kiểm tra 2,8 triệu trang trên các trang web xếp hạng cao nhất thế giới. Trong số này, 1, 844 trang web cho phép trình theo dõi kiểm tra địa chỉ email trước khi gửi, khi được truy cập từ châu Âu. Khi được truy cập từ Hoa Kỳ, số lượng trang web thu thập thông tin trước khi gửi đã tăng lên 2, 950.
Các nhà nghiên cứu lưu ý rằng trong một số trường hợp, việc rò rỉ dữ liệu dường như là do cố ý, với việc thu thập mật khẩu ngẫu nhiên trên 52 trang web đã được giải quyết nhờ phát hiện của nghiên cứu.
"Một số trang web nói với chúng tôi rằng họ không biết về việc thu thập dữ liệu này và đã khắc phục sự cố khi chúng tôi tiết lộ", các nhà nghiên cứu viết, người sẽ trình bày phát hiện của họ tại Hội nghị chuyên đề về bảo mật USENIX sắp tới, ở Boston, Massachusetts.
Giữ An toàn
Chris Hauk, nhà vô địch về quyền riêng tư của người tiêu dùng tại Pixel Privacy, nói rằng mặc dù dữ liệu bị rò rỉ đến từ các trang web, nhưng có một số điều mọi người có thể làm để ít nhất là làm chậm quá trình rò rỉ dữ liệu.
"Người dùng có thể truy cập trang web Cover Your Tracks của Electronic Frontier Foundation để xác định cách những người theo dõi trang web nhìn thấy trình duyệt của bạn, tiết lộ cách các trang web có thể theo dõi bạn khi trực tuyến và bạn có thể làm gì để ít nhất một phần ngăn chặn điều đó", Hauk gợi ý. Lifewire qua email.
Dữ liệu cá nhân và giá trị của nó tạo thành mô hình kinh doanh cho nhiều doanh nghiệp kỹ thuật số hiện đại trong hơn 20 năm qua…
Lời khuyên thông thường về việc sử dụng VPN để che các bản nhạc trực tuyến của bạn sẽ không hữu ích nhiều để ngăn chặn loại rò rỉ này. Hauk khuyên bạn nên sử dụng địa chỉ email dùng một lần, tách biệt với tài khoản email cá nhân thông thường của bạn, để sử dụng trên các trang web yêu cầu thông tin như vậy.
McElroy đã yêu cầu mọi người sử dụng trình duyệt web được xây dựng để bảo mật như Brave hoặc cài đặt các tiện ích bổ sung về quyền riêng tư, chẳng hạn như Privacy Badger, trên trình duyệt thông thường của họ. Ông cũng ủng hộ xác thực đa yếu tố để giảm thiểu thiệt hại do rò rỉ mật khẩu.
Ngoài ra, các nhà nghiên cứu đã phát triển một tiện ích bổ sung cho trình duyệt bằng chứng khái niệm có tên là Leak rà soát để cảnh báo và bảo vệ chống lại việc xâm nhập dữ liệu.
Kinh tế dữ liệu
Bày tỏ sự ngạc nhiên về mức độ thu thập, McElroy nói rằng mọi người phải hiểu rằng dữ liệu do con người tạo ra là một thứ hàng hóa sẽ được thu thập, chia sẻ, phân tích và sử dụng cho nhiều mục đích.
Trong hầu hết thời gian, những mục đích này không nhất thiết là độc hại (như chia sẻ dữ liệu với nhà quảng cáo bên thứ ba) tuy nhiên luồng giữa và giữa các hệ thống với nhiều cấp độ bảo mật khác nhau khiến tất cả người tiêu dùng dễ bị tổn thương và tạo ra một bối cảnh chín muồi cho McElroy giải thích.
David Rickard, CTO Bắc Mỹ tại Cipher, một công ty của Prosegur, cho rằng mọi người nên cho rằng mọi biểu mẫu họ điền trên internet đều lưu dữ liệu trong khi quá trình nhập dữ liệu đang được tiến hành và mọi biểu mẫu họ điền vào đều trở thành tài sản của trang web và được bán lại cho các bên thứ ba.
"Dữ liệu cá nhân và giá trị của nó tạo thành mô hình kinh doanh cho nhiều doanh nghiệp kỹ thuật số hiện đại trong hơn 20 năm qua, ngay cả khi chính sách bảo mật của họ quy định rõ ràng rằng họ không thu thập PII [Thông tin nhận dạng cá nhân] và bán nó, "Rickard nói với Lifewire qua email.
Anh ấy cho biết các trình tổng hợp dữ liệu làm việc xung quanh các quy định về quyền riêng tư bằng cách thu thập một số tập dữ liệu khác nhau có thể không bao gồm tên, địa chỉ, v.v., không phải là PII, nhưng khi khớp với hàng trăm điểm dữ liệu bổ sung từ các tập dữ liệu khác, có thể xác định các cá nhân với tỷ lệ thành công trên 90%.
"Điều này làm phát sinh các dịch vụ giống như bảng tính toán (hoặc được cho là thực sự là bảng tính toán) cho biết mức độ tín dụng xứng đáng, khả năng bảo hiểm, khả năng tuyển dụng, khả năng mắc các chứng nghiện khác nhau, có khả năng là đảng phái chính trị và tôn giáo, bạn đặt tên cho nó," Rickard nói.
