Сотни сайтов делятся именами пользователей без их разрешения

Сотни сайтов делятся именами пользователей без их разрешения

Home Depot, The Wall Street Journal, Photobucket и сотни других сайтов делятся именами, логинами и прочей личной информацией с рекламодателями или другими третьими лицами, часто не раскрывая данную практику в политике конфиденциальности, сообщили исследователи.



61% сайтов, протестированных исследователями из Центра по изучению интернета и общества Стэнфордской школы права (Stanford Law School's Center for Internet and Society), являлись источниками утечки персональной информации, иногда распространяя ее десяткам сторонних партнеров. Home Depot, например, раскрывал имена и email-адреса посетителей, которые кликали на рекламу, 13 компаниям. Wall Street Journal разглашал семи своим партнерам email-адреса пользователей, которые вводили неправильные пароли. А Photobucket выдавал имена тех, кто использовал сайт, чтобы поделиться изображениями со своими друзьями, передает xakep.ru.

Отчет связан с предложением властей США о введении обязательной опции Do Not Track для всех веб-сайтов. Некоторые операторы заявили, что такие меры излишни, поскольку их системы отслеживания браузинговой истории посетителей не связаны с личностью пользователя и личной информацией о нем.

В отчете Джонатан Майер, аспирант Стэнфорда, который руководил исследованием, выступил против утверждения о том, что онлайн-отслеживание анонимно. Сам по себе логин – нечто большее, чем параметр для идентификации владельца, и при комбинировании с другой информацией, такой как географическое положение или имя, даже широко используемые логины могут быть соотнесены с определенной личностью.

"Мы считаем, что на данный момент имеются неопровержимые доказательства того, что отслеживание в сети третьими лицами не анонимно", - написал он. "Это вопрос законной политики, где после взвешивания всех обстоятельств, необходимо решить должна ли опция Do Not Track быть приведена в исполнение законом. Но сложное решение при взвешивании конкурирующих факторов - рисков в области конфиденциальности и экономики – не может быть сорвано заявлениями об анонимности".

В отчете отражено исследование сайтов, включенных в список Quantcast top 250, которые предлагают регистрацию, но не требуют оплаты за это или не имеют другого ограничения для создания логина, а также не включают очень много функций, нецелесообразных для исследования. Из 185 сайтов, соответствующих критериям, 113 включали логины и другие идентификаторы в URL, которыми они делились с рекламодателями и партнерами-аналитиками. Пятью крупнейшими получателями информации являлись ComScore, Google Analytics, Google DoubleClick, Quantcast и Facebook.

В отчете процитированы политики конфиденциальности многих веб-сайтов, которые не указывают о такого рода деятельности. WSJ, например, указывает: "Мы не продаем, не даем на прокат и не предоставляем третьим лицам вашу персональную информацию с целью маркетинга". В своей политике Home Depot сообщает, что он "не будет продавать или давать напрокат вашу персональную информацию без вашего предварительного согласия".

Исследователи Стэнфорда ранее освещали разнообразные попытки сайтов и рыночных производителей отследить браузинговые привычки пользователей, иногда при этом "шпионы" изо всех сил старались остаться анонимными.

В августе исследователи обнаружили JavaScript, размещенный на MSN.com и трех других сайтах Microsoft, которые тайно регистрировали истории просмотра посетителей в пределах многочисленных веб-объектов, даже если пользователи удаляли браузерные куки для избежания отслеживания. Исследователи также выявили маркетолога, который помогал сайтам распространять целевую рекламу, эксплуатируя уязвимость браузера десятилетней давности, способствующую утечке истории посещения сайтов.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru