मुख्य तथ्य
- शोधकर्ताओं ने उपयोगकर्ताओं द्वारा सबमिट बटन दबाए जाने से पहले ही हजारों शीर्ष वेबसाइटों को फ़ॉर्म डेटा कैप्चर और साझा करते पाया।
- संग्रह हमेशा विज्ञापन के उद्देश्य से नहीं होता, गोपनीयता विशेषज्ञों का सुझाव है।
- कई वेबसाइटों ने स्वामित्व लिया और गलतियों को सुधारा, लेकिन कई अभी भी नियमों की अवहेलना करती हैं।
वेबसाइटें आपकी जानकारी एकत्र करने और साझा करने में अधिक कुशल होती जा रही हैं।
शीर्ष 100,000 वेबसाइटों में एक व्यापक अध्ययन से पता चला है कि लोगों द्वारा सबमिट बटन दबाए जाने से पहले ही लोगों द्वारा साइट में दर्ज की गई कई लीक जानकारी तीसरे पक्ष के ट्रैकर्स को भेज दी जाती है।इसे ऐसी हजारों वेबसाइटें मिलीं, जिन्होंने ईमेल पते से लेकर पासवर्ड तक सब कुछ लीक कर दिया, हालांकि शुक्र है कि शोधकर्ताओं ने उनसे संपर्क करने के बाद कई मुद्दों को ठीक कर दिया।
"वेबसाइटों को पासवर्ड लीक होते देखना चिंताजनक है," वीएमवेयर के प्रिंसिपल साइबरसिक्योरिटी स्ट्रैटेजिस्ट रिक मैकलेरॉय ने शोध पर प्रतिक्रिया देते हुए लाइफवायर को ईमेल पर बताया। "मुझे यह देखकर खुशी हुई कि एक बार अधिसूचित होने के बाद, संगठनों ने उस प्रथा को रोकने के लिए अपने कोड में बदलाव किए।"
लीक में प्रवेश करें
अध्ययन यह निर्धारित करने के लिए आयोजित किया गया था कि क्या ऑनलाइन ट्रैकर वेब फॉर्म तक पहुंच का दुरुपयोग करते हैं। शोधकर्ता एक सर्वेक्षण की ओर इशारा करते हैं जहां 81% उत्तरदाताओं ने स्वीकार किया कि उन्होंने कभी न कभी ऑनलाइन फ़ॉर्म को छोड़ दिया था।
"हम मानते हैं कि फ़ॉर्म सबमिट करने से पहले ट्रैकिंग उद्देश्यों के लिए वेब फ़ॉर्म से व्यक्तिगत डेटा एकत्र करना उपयोगकर्ताओं की अपेक्षाओं के विरुद्ध है," शोधकर्ताओं ने नोट किया। "हम इसकी व्यापकता का आकलन करने के लिए इस व्यवहार को मापना चाहते थे।"
कुल मिलाकर, उन्होंने विश्व की सर्वोच्च रैंकिंग वाली साइटों पर 2.8 मिलियन पृष्ठों का परीक्षण किया। इनमें से 1, 844 वेबसाइटों ने ट्रैकर्स को यूरोप से आने पर सबमिट करने से पहले ईमेल पतों को बाहर निकालने की अनुमति दी। जब अमेरिका से दौरा किया गया, तो जमा करने से पहले जानकारी एकत्र करने वाली साइटों की संख्या बढ़कर 2,950 हो गई।
शोधकर्ताओं ने ध्यान दिया कि कुछ मामलों में डेटा लीक स्पष्ट रूप से अनजाने में हुआ था, अध्ययन के निष्कर्षों के कारण 52 वेबसाइटों पर आकस्मिक पासवर्ड संग्रह का समाधान किया जा रहा है।
"कुछ वेबसाइटों ने हमें बताया कि वे इस डेटा संग्रह से अवगत नहीं थे और हमारे खुलासे पर इस मुद्दे को ठीक कर दिया," शोधकर्ताओं ने लिखा, जो बोस्टन, मैसाचुसेट्स में आगामी USENIX सुरक्षा संगोष्ठी में अपने निष्कर्ष प्रस्तुत करेंगे।
सुरक्षित रहें
पिक्सेल प्राइवेसी के कंज्यूमर प्राइवेसी चैंपियन क्रिस हॉक ने कहा कि वेबसाइटों से डेटा लीक हो रहा है, लेकिन कुछ चीजें हैं जो लोग कम से कम डेटा लीक को धीमा करने के लिए कर सकते हैं।
"उपयोगकर्ता यह निर्धारित करने के लिए इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन की कवर योर ट्रैक्स वेबसाइट पर जा सकते हैं कि वेबसाइट ट्रैकर आपके ब्राउज़र को कैसे देखते हैं, यह बताते हैं कि ऑनलाइन रहते हुए साइटें आपको कैसे ट्रैक कर सकती हैं, और आप इसे कम से कम आंशिक रूप से रोकने के लिए क्या कर सकते हैं," हॉक ने सुझाव दिया ईमेल पर लाइफवायर.
व्यक्तिगत डेटा और उसका मूल्य पिछले 20+ वर्षों से कई आधुनिक डिजिटल उद्यमों के लिए व्यवसाय मॉडल है…
अपने ऑनलाइन ट्रैक को कवर करने के लिए वीपीएन का उपयोग करने की सामान्य सलाह इस तरह के रिसाव को रोकने के लिए बहुत काम की नहीं होगी। हॉक ऐसी जानकारी मांगने वाली वेबसाइटों पर उपयोग के लिए, आपके सामान्य व्यक्तिगत ईमेल खाते से अलग एक डिस्पोजेबल ईमेल पते का उपयोग करने का सुझाव देता है।
McElroy ने लोगों से कहा कि वे या तो गोपनीयता के लिए बनाए गए वेब ब्राउज़र का उपयोग करें जैसे कि Brave, या गोपनीयता ऐड-ऑन, जैसे गोपनीयता बैजर, को अपने नियमित ब्राउज़र पर स्थापित करने के लिए। उन्होंने पासवर्ड लीक के नुकसान को कम करने के लिए बहु-कारक प्रमाणीकरण की भी वकालत की।
इसके अतिरिक्त, शोधकर्ताओं ने लीक इंस्पेक्टर नामक एक प्रूफ-ऑफ-कॉन्सेप्ट ब्राउज़र ऐड-ऑन विकसित किया है जो डेटा एक्सफ़िल्टरेशन के खिलाफ चेतावनी और सुरक्षा करता है।
डेटा अर्थव्यवस्था
संग्रह की सीमा पर आश्चर्य व्यक्त करते हुए, मैकलेरॉय ने कहा कि लोगों को यह समझना चाहिए कि मानव-जनित डेटा एक ऐसी वस्तु है जिसे एकत्र, साझा, विश्लेषण और कई उद्देश्यों के लिए उपयोग किया जाएगा।
"ज्यादातर समय ये उद्देश्य दुर्भावनापूर्ण नहीं होते (जैसे किसी तृतीय-पक्ष विज्ञापनदाता के साथ डेटा साझा करना) हालांकि सुरक्षा के विभिन्न स्तरों वाले सिस्टम के बीच और उनके बीच प्रवाह सभी उपभोक्ताओं को असुरक्षित बनाता है और इसके लिए एक परिपक्व परिदृश्य बनाता है। हमलावरों का फायदा उठाने के लिए," McElroy ने समझाया।
डेविड रिकार्ड, एक प्रोसेगुर कंपनी, सिफर में उत्तरी अमेरिका के सीटीओ, सोचते हैं कि लोगों को यह मान लेना चाहिए कि इंटरनेट पर उनके द्वारा भरा गया हर फॉर्म डेटा की बचत कर रहा है, जबकि डेटा प्रविष्टि चल रही है, और उनके द्वारा भरा गया हर फॉर्म संपत्ति बन जाता है वेबसाइट का और तीसरे पक्ष को फिर से बेचा गया।
"व्यक्तिगत डेटा और उसका मूल्य पिछले 20+ वर्षों के लिए कई आधुनिक डिजिटल उद्यमों के लिए व्यवसाय मॉडल बनाते हैं, भले ही उनकी गोपनीयता नीतियां स्पष्ट रूप से बताती हैं कि वे PII [व्यक्तिगत रूप से पहचान योग्य जानकारी] एकत्र नहीं करते हैं और इसे बेचते नहीं हैं, "रिकार्ड ने ईमेल पर लाइफवायर को बताया।
उन्होंने कहा कि डेटा एग्रीगेटर कई अलग-अलग डेटासेट एकत्र करके गोपनीयता नियमों के आसपास काम करते हैं, जिसमें नाम, पता आदि शामिल नहीं हो सकते हैं, जो कि पीआईआई नहीं हैं, लेकिन जब अन्य डेटासेट से सैकड़ों अतिरिक्त डेटा बिंदुओं के साथ मिलान किया जाता है, 90% से अधिक सफलता दर वाले व्यक्तियों की पहचान कर सकते हैं।
"यह उन सेवाओं को जन्म देता है जो बीमांकिक तालिकाओं (या वास्तव में बीमांकिक तालिकाओं के रूप में मानी जाती हैं) जैसी कुछ हैं जो क्रेडिट योग्यता, बीमा योग्यता, रोजगार योग्यता, विभिन्न व्यसनों की संभावना, संभावित राजनीतिक और धार्मिक संबद्धता का संकेत देती हैं, आप इसे नाम दें, " रिकार्ड ने कहा।