Princípios importantes
- Pesquisadores encontraram milhares dos principais sites capturando e compartilhando dados de formulários antes mesmo de os usuários pressionarem o botão Enviar.
- A coleção nem sempre é para fins publicitários, sugira especialistas em privacidade.
- Muitos sites assumiram e corrigiram os erros, mas vários ainda desafiam as regras.
Os sites estão cada vez mais habilidosos em coletar e compartilhar suas informações.
Um extenso estudo sobre os 100.000 principais sites revelou que muitas informações vazadas que as pessoas inseriram nos formulários do site para rastreadores de terceiros antes mesmo de pressionar o botão enviar. Ele encontrou milhares desses sites que vazaram tudo, desde endereços de e-mail a senhas, embora, felizmente, muitos tenham corrigido os problemas assim que os pesquisadores os contataram.
"É preocupante ver sites vazando senhas", disse Rick McElroy, principal estrategista de segurança cibernética da VMware, à Lifewire por e-mail, reagindo à pesquisa. "Fico feliz em ver que, uma vez notificadas, as organizações fizeram alterações em seu código para interromper essa prática."
Entrar para vazar
O estudo foi realizado para determinar se os rastreadores online fazem uso indevido do acesso a formulários da web. Os pesquisadores apontam para uma pesquisa em que 81% dos entrevistados admitiram abandonar os formulários on-line em algum momento.
"Acreditamos que é totalmente contra as expectativas dos usuários coletar dados pessoais de formulários da web para fins de rastreamento antes de enviar um formulário", observaram os pesquisadores. "Queríamos medir esse comportamento para avaliar sua prevalência."
Ao todo, eles testaram 2,8 milhões de páginas nos sites mais bem classificados do mundo. Destes, 1.844 sites permitiram que os rastreadores extraíssem endereços de e-mail antes do envio, quando visitados da Europa. Quando visitados dos EUA, o número de sites que coletam informações antes do envio aumentou para 2.950.
Os pesquisadores observam que os vazamentos de dados foram aparentemente não intencionais em alguns casos, com a coleta acidental de senhas em 52 sites sendo resolvida graças às descobertas do estudo.
"Alguns sites nos disseram que não estavam cientes dessa coleta de dados e corrigiram o problema após nossas divulgações", escreveram os pesquisadores, que apresentarão suas descobertas no próximo Simpósio de Segurança USENIX, em Boston, Massachusetts.
Fique Seguro
Chris Hauk, defensor da privacidade do consumidor na Pixel Privacy, disse que, embora os vazamentos de dados venham dos sites, há algumas coisas que as pessoas podem fazer para pelo menos retardar os vazamentos de dados.
"Os usuários podem visitar o site Cover Your Tracks da Electronic Frontier Foundation para determinar como os rastreadores de sites veem seu navegador, revelando como os sites podem rastreá-lo enquanto estiver on-line e o que você pode fazer para evitá-lo, pelo menos parcialmente", sugeriu Hauk. Lifewire por e-mail.
Dados pessoais e seu valor formam o modelo de negócios para muitas empresas digitais modernas nos últimos 20 anos…
O conselho usual de usar uma VPN para cobrir seus rastros online não será muito útil para evitar esse tipo de vazamento. Hauk sugere o uso de um endereço de e-mail descartável, separado de sua conta de e-mail pessoal habitual, para uso em sites que solicitam tais informações.
McElroy pediu às pessoas que usassem um navegador da Web criado para privacidade, como o Brave, ou instalassem complementos de privacidade, como o Privacy Badger, em seu navegador normal. Ele também defendeu a autenticação multifator para minimizar os danos de vazamentos de senha.
Além disso, os pesquisadores desenvolveram um complemento de navegador de prova de conceito chamado Leak Inspector, que avisa e protege contra exfiltração de dados.
Economia de Dados
Expressando sua surpresa com a extensão da coleta, McElroy disse que as pessoas devem entender que os dados gerados por humanos são uma mercadoria que será coletada, compartilhada, analisada e usada para vários propósitos.
"Na maioria das vezes, esses propósitos não são necessariamente maliciosos (como compartilhar dados com um anunciante de terceiros), mas o fluxo entre sistemas com vários níveis de segurança torna todos os consumidores vulneráveis e cria um cenário propício para atacantes para aproveitar ", explicou McElroy.
David Rickard, CTO North America da Cipher, uma empresa da Prosegur, acha que as pessoas devem presumir que todos os formulários que preenchem na Internet estão salvando dados enquanto a entrada de dados está em andamento, e todos os formulários que preenchem se tornam propriedade do site e revendido para terceiros.
"Dados pessoais e seu valor formam o modelo de negócios para muitas empresas digitais modernas nos últimos 20 anos, mesmo que suas políticas de privacidade declarem explicitamente que elas não coletam PII [Informações de Identificação Pessoal] e as vendem, " Rickard disse à Lifewire por e-mail.
Ele disse que os agregadores de dados trabalham em torno dos regulamentos de privacidade coletando vários conjuntos de dados diferentes que podem não incluir nome, endereço etc., que não são PII como tal, mas quando comparados com centenas de pontos de dados adicionais de outros conjuntos de dados, pode identificar indivíduos com uma taxa de sucesso superior a 90%.
"Isso dá origem a serviços que são algo como tabelas atuariais (ou que se acredita serem realmente tabelas atuariais) indicando valor de crédito, segurabilidade, empregabilidade, probabilidade de diferentes vícios, prováveis afiliações políticas e religiosas, o que você quiser, " disse Rickard.
