Home Depot, The Wall Street Journal, Photobucket и сотни других сайтов
делятся именами, логинами и прочей личной информацией с рекламодателями или
другими третьими лицами, часто не раскрывая данную практику в политике
конфиденциальности, сообщили исследователи.
61% сайтов, протестированных исследователями из Центра по изучению интернета
и общества Стэнфордской школы права (Stanford Law School's Center for Internet
and Society), являлись источниками утечки персональной информации, иногда
распространяя ее десяткам сторонних партнеров. Home Depot, например, раскрывал
имена и email-адреса посетителей, которые кликали на рекламу, 13 компаниям. Wall
Street Journal разглашал семи своим партнерам email-адреса пользователей,
которые вводили неправильные пароли. А Photobucket выдавал имена тех, кто
использовал сайт, чтобы поделиться изображениями со своими друзьями.
Отчет связан с предложением властей США о введении обязательной опции Do Not
Track для всех веб-сайтов. Некоторые операторы заявили, что такие меры излишни,
поскольку их системы отслеживания браузинговой истории посетителей не связаны с
личностью пользователя и личной информацией о нем.
В отчете Джонатан Майер, аспирант Стэнфорда, который руководил исследованием,
выступил против утверждения о том, что онлайн-отслеживание анонимно. Сам по себе
логин – нечто большее, чем параметр для идентификации владельца, и при
комбинировании с другой информацией, такой как географическое положение или имя,
даже широко используемые логины могут быть соотнесены с определенной личностью.
"Мы считаем, что на данный момент имеются неопровержимые доказательства того,
что отслеживание в сети третьими лицами не анонимно", - написал он. "Это вопрос
законной политики, где после взвешивания всех обстоятельств, необходимо решить
должна ли опция Do Not Track быть приведена в исполнение законом. Но сложное
решение при взвешивании конкурирующих факторов - рисков в области
конфиденциальности и экономики – не может быть сорвано заявлениями об
анонимности".
В отчете отражено исследование сайтов, включенных в список Quantcast top 250,
которые предлагают регистрацию, но не требуют оплаты за это или не имеют другого
ограничения для создания логина, а также не включают очень много функций,
нецелесообразных для исследования. Из 185 сайтов, соответствующих критериям, 113
включали логины и другие идентификаторы в URL, которыми они делились с
рекламодателями и партнерами-аналитиками. Пятью крупнейшими получателями
информации являлись ComScore, Google Analytics, Google DoubleClick, Quantcast и
Facebook.
В отчете процитированы политики конфиденциальности многих веб-сайтов, которые
не указывают о такого рода деятельности. WSJ, например, указывает: "Мы не
продаем, не даем на прокат и не предоставляем третьим лицам вашу персональную
информацию с целью маркетинга". В своей политике Home Depot сообщает, что он "не
будет продавать или давать напрокат вашу персональную информацию без вашего
предварительного согласия".
Исследователи Стэнфорда ранее освещали разнообразные попытки сайтов и
рыночных производителей отследить браузинговые привычки пользователей, иногда
при этом "шпионы" изо всех сил старались остаться анонимными.
В августе исследователи обнаружили JavaScript, размещенный на MSN.com и трех
других сайтах Microsoft, которые тайно регистрировали истории просмотра
посетителей в пределах многочисленных веб-объектов, даже если пользователи
удаляли браузерные куки для избежания отслеживания. Исследователи также выявили
маркетолога, который помогал сайтам распространять целевую рекламу, эксплуатируя
уязвимость браузера десятилетней давности, способствующую утечке истории
посещения сайтов.