Key Takeaways
- Peneliti menemukan ribuan situs web teratas yang menangkap dan membagikan data formulir bahkan sebelum pengguna menekan tombol Kirim.
- Koleksi tidak selalu untuk tujuan periklanan, saran pakar privasi.
- Banyak situs web yang memiliki dan memperbaiki kesalahan, tetapi beberapa masih melanggar aturan.
Situs web semakin pandai mengumpulkan dan membagikan informasi Anda.
Sebuah studi ekstensif terhadap 100.000 situs web teratas mengungkapkan bahwa banyak informasi bocor yang dimasukkan orang ke dalam formulir situs ke pelacak pihak ketiga bahkan sebelum orang menekan tombol kirim. Ia menemukan ribuan situs web semacam itu yang membocorkan semuanya mulai dari alamat email hingga kata sandi, meskipun untungnya, banyak yang memperbaiki masalah setelah para peneliti menghubungi mereka.
"Sangat memprihatinkan melihat situs web membocorkan kata sandi, " Rick McElroy, Ahli Strategi Keamanan Siber Utama di VMware, mengatakan kepada Lifewire melalui email, bereaksi terhadap penelitian tersebut. "Saya senang melihat bahwa setelah diberi tahu, organisasi membuat perubahan pada kode mereka untuk menghentikan praktik itu."
Masuk ke Leak
Studi ini dilakukan untuk menentukan apakah pelacak online menyalahgunakan akses ke formulir web. Para peneliti menunjukkan survei di mana 81% responden mengaku meninggalkan formulir online di beberapa titik.
"Kami yakin sangat bertentangan dengan harapan pengguna untuk mengumpulkan data pribadi dari formulir web untuk tujuan pelacakan sebelum mengirimkan formulir," catat para peneliti. "Kami ingin mengukur perilaku ini untuk menilai prevalensinya."
Secara keseluruhan, mereka menguji 2,8 juta halaman di situs dengan peringkat tertinggi di dunia. Dari jumlah tersebut, 1.844 situs web memungkinkan pelacak untuk mengekstrak alamat email sebelum pengiriman, ketika dikunjungi dari Eropa. Saat dikunjungi dari AS, jumlah situs yang mengumpulkan informasi sebelum pengiriman meningkat menjadi 2.950.
Para peneliti mencatat bahwa kebocoran data tampaknya tidak disengaja dalam beberapa kasus, dengan pengumpulan kata sandi insidental di 52 situs web diselesaikan berkat temuan penelitian.
"Beberapa situs web memberi tahu kami bahwa mereka tidak mengetahui pengumpulan data ini dan memperbaiki masalah ini setelah pengungkapan kami," tulis para peneliti, yang akan mempresentasikan temuan mereka pada Simposium Keamanan USENIX mendatang, di Boston, Massachusetts.
Tetap Aman
Chris Hauk, juara privasi konsumen di Pixel Privacy, mengatakan bahwa meskipun kebocoran data berasal dari situs web, ada beberapa hal yang dapat dilakukan orang untuk setidaknya memperlambat kebocoran data.
"Pengguna dapat mengunjungi situs web Cover Your Tracks Electronic Frontier Foundation untuk menentukan bagaimana pelacak situs web melihat browser Anda, mengungkapkan bagaimana situs dapat melacak Anda saat online, dan apa yang dapat Anda lakukan untuk mencegahnya setidaknya sebagian," saran Hauk kepada Lifewire melalui email.
Data pribadi dan nilainya membentuk model bisnis bagi banyak perusahaan digital modern selama 20+ tahun terakhir…
Saran biasa menggunakan VPN untuk menutupi trek online Anda tidak akan banyak berguna untuk mencegah kebocoran semacam ini. Hauk menyarankan untuk menggunakan alamat email sekali pakai, terpisah dari akun email pribadi Anda yang biasa, untuk digunakan di situs web yang meminta informasi tersebut.
McElroy meminta orang untuk menggunakan peramban web yang dibuat untuk privasi seperti Brave, atau memasang pengaya privasi, seperti Privacy Badger, di peramban biasa mereka. Dia juga menganjurkan otentikasi multi-faktor untuk meminimalkan kerusakan kebocoran kata sandi.
Selain itu, para peneliti telah mengembangkan add-on browser proof-of-concept yang disebut Leak Inspector yang memperingatkan dan melindungi terhadap pemalsuan data.
Ekonomi Data
Mengekspresikan keterkejutannya pada tingkat pengumpulan, McElroy mengatakan orang harus memahami bahwa data yang dihasilkan manusia adalah komoditas yang akan dikumpulkan, dibagikan, dianalisis, dan digunakan untuk berbagai tujuan.
Sering kali tujuan ini tidak selalu berbahaya (seperti berbagi data dengan pengiklan pihak ketiga) namun aliran antara dan di antara sistem dengan berbagai tingkat keamanan membuat semua konsumen rentan dan menciptakan lanskap yang matang untuk penyerang untuk dimanfaatkan,” jelas McElroy.
David Rickard, CTO Amerika Utara di Cipher, sebuah perusahaan Prosegur, berpikir bahwa orang harus menganggap bahwa setiap formulir yang mereka isi di internet adalah menyimpan data saat entri data sedang berlangsung, dan setiap formulir yang mereka isi menjadi milik dari situs web dan dijual kembali ke pihak ketiga.
"Data pribadi dan nilainya membentuk model bisnis bagi banyak perusahaan digital modern selama lebih dari 20 tahun terakhir, bahkan jika kebijakan privasi mereka secara eksplisit menyatakan bahwa mereka tidak mengumpulkan PII [Informasi Identifikasi Pribadi] dan menjualnya, " Rickard memberi tahu Lifewire melalui email.
Dia mengatakan agregator data bekerja di sekitar peraturan privasi dengan mengumpulkan beberapa kumpulan data berbeda yang mungkin tidak menyertakan nama, alamat, dll., yang bukan merupakan PII, tetapi ketika dicocokkan dengan ratusan titik data tambahan dari kumpulan data lain, dapat mengidentifikasi individu dengan tingkat keberhasilan lebih dari 90%.
"Hal ini memunculkan layanan seperti tabel aktuaria (atau diyakini benar-benar tabel aktuaria) yang menunjukkan kelayakan kredit, insurabilitas, kelayakan kerja, kemungkinan kecanduan yang berbeda, kemungkinan afiliasi politik dan agama, sebut saja, " kata Rickard.
