研究人员报告称,Uber 和 Lyft 无意中将零工工人的 SSN 号码发送给社交媒体公司
当一个人申请为 Uber 或 Lyft 工作时,他们必须填写几份在线表格,详细说明重要信息,包括他们的出生日期和驾驶执照。申请人还必须提供更多敏感信息,例如他们的社会安全号码。
发表在《隐私增强技术会议论文集》上的东北大学新研究表明,直到最近,这些叫车公司还无意中将这些数据发送给了 TikTok 和 Meta——全球最大的两家社交媒体公司。
研究人员在论文中写道:“Lyft 与 Facebook(Meta)和 TikTok 共享了工人 SSN 的未加盐哈希值,而 Uber 与 Facebook 共享了 SSN 的未加盐哈希值。”
网络安全中使用哈希值将数据转换为字符串,使黑客更难收集信息。未加盐的哈希值被认为是不安全的,因为它们不像加盐哈希值那样随机化。
戴维·乔夫内斯(David Choffnes)是东北大学计算机科学教授兼网络安全专家,他是发现跟踪像素(一种在网络上跟踪用户的分析工具)安全问题的几位研究人员之一。
跟踪像素是嵌入在网站界面图像中的一小行代码。它们允许公司查看用户的行为并收集有价值的信息以用于广告宣传。
“如今,几乎每个你访问的网站都有追踪器,”乔夫内斯说。“如果你曾经想过,自己是否在 Facebook 或 Instagram 上看到过与你刚刚浏览的网站非常相关的广告,那是因为 Meta 的母公司在许多网站上都有追踪器。他们知道你是谁,你正在访问哪些网站。TikTok 也是如此。谷歌和该市场上的许多其他公司也是如此。”
乔夫内斯解释说,Uber 和 Lyft 等公司有动力将这些追踪器添加到他们的网站上,因为作为交换,Meta、TikTok 和其他公司为这些公司提供免费工具,使他们能够分析自己的网络流量。
Choffnes 和他的同事发现,这些像素无意中收集了私人应用程序网络表单的数据,然后将这些数据直接发送给 Meta 和 TikTok。
“这里的问题是,公司在许多情况下部署跟踪是为了帮助定向广告、了解广告效果并最终实现货币化。由于这些配置方式,这些公司通常会收集大量个人数据,包括我们输入到网络表单中的内容,而这些表单没有任何警告,比如‘嘿,当您点击提交时,您的数据也会发送到 Facebook’,”该团队表示。
Choffnes 和他的同事通过与有意向的员工注册成为服务司机时相同的流程发现了这些漏洞。值得注意的是,他们只有在使用 Uber 或 Lyft 的桌面网站申请时才发现存在此问题。
他说,他们之所以进行这些实验,是因为他们想知道零工工人在分享个人数据以获得就业时有多么脆弱。
“更大的背景是关注零工工作者的隐私,以及他们是一群通常没有选择权的人,无法决定他们会受到多少在线跟踪,所以我们试图量化他们的个人数据到底有多少被暴露,哪些人获得了这些数据,以及哪些类型的数据被暴露,”他补充道。
就 Uber 和 Lfyt 而言,Choffnes 表示,当研究人员与这些公司分享他们的发现时,他们很快就着手修复漏洞。
“我们在信函中使用的词是‘无意’,”Choffnes 说。“他们不是有意这样做的。一旦他们知道问题所在,是的,这只是一个配置选项。这些像素不必从网络表单收集数据,”他说。
“你可以告诉他们不要这样做,但这似乎表明它们默认处于开启状态,这是否只是最初为其网站配置它的人的疏忽,或者这些网站所有者在注册这些像素时是否被引导打开它们。”
乔夫内斯和他的同事建议,公司不应该以处理一般消费者数据的方式来对待员工数据。
他强调说,要申请工作,你必须分享你的税号、社会保险号、邮寄地址和电话号码等数据。
“如果你只是这项服务的消费者,情况就大不相同了,”他说,“如果你想让别人给你送餐,你需要一张信用卡和一个电子邮件地址,仅此而已。”
然而,按照目前大多数网站的配置方式,这些公司对待员工数据和消费者数据的方式大致相同。
他强调,这些公司必须更好地执行目的限制声明,这些声明本质上是书面声明,明确说明公司计划如何使用员工数据,并信守诺言。
那么,员工可以做些什么来保护自己,避免他们的个人数据在未经他们同意的情况下被共享呢?
在欧洲,根据《通用数据保护条例》(GDPR),公司必须设定目的限制。然而,Choffnes 强调,美国没有这样的规定,而且我们也没有任何类型的联邦数据隐私法来保护这些员工。
乔夫内斯强调,需要采取更多措施让这些公司对其行为更加负责和透明。
“我们需要更多的透明度和对隐私的普遍倡导,”他说。“如果我们不希望 Meta 和 TikTok 这样的公司从网络表单收集我们的个人数据,我们就应该将其定为非法。如果不在你点击发送之前明确告知‘等等,我还要将这些数据发送给其他人。你同意吗?’,就不应该允许这种行为。即便如此,这听起来也很糟糕,也许根本不应该发生。”
页:
[1]