泄露的网站全方位揭示你的信息 - 彭博社

弗雷德·弗拉弗纳特是一个支持选择的棒球迷，他阅读《华盛顿邮报》的电子版，并在维多利亚的秘密、亚马逊（AMZN ）和L.L. Bean上网购物。我知道弗雷德注册的每一个网站，因为我是他的创造者，并填写了表格。但是，由于网站泄露个人信息的方式，任何人都可以轻松地组建弗雷德——或你或我——的个人资料，这令人感到不安。

蓝色安全公司，一家以色列公司，向我描述了一种简单合法的方式，从许多网站收集个人数据，他们称这种技术为“敌对消费者画像”。一个营销人员或潜在的身份窃贼首先获取某人的电子邮件地址，在这个案例中是[email protected]。许多需要注册的网站使用你的网络地址作为用户名；在其他情况下，人们可能会根据他们的网络地址选择登录名，例如fred_fluffernutter。

部分由于这一惯例，找出谁注册了哪些活动变得非常容易。例如，如果你尝试以一个已经在用的名字——比如弗雷德的名字——在NARAL Pro-Choice America注册，屏幕上会弹出一条消息，显示：“感谢您确认您的会员资格。”一个冒名顶替者或正在建立个人资料的营销人员现在可以推断出弗雷德很可能是堕胎权的支持者。

其他网站可以被欺骗 来确认注册。例如，如果您请求一个“丢失”的密码，他们会报告密码已发送到注册的电子邮件地址，或者没有记录这样的地址。我使用这样的技巧来验证弗雷德是否在美国职业棒球大联盟、邮报、维多利亚的秘密和L.L. Bean的网站上注册，使用相同的技术可以在成千上万的其他网站上使用。逐个网站和用户收集这些信息在经济上是不切实际的，但编写一个程序来自动化这项工作，检查成千上万的地址与数十个网站并不需要太多技能。

令人沮丧的是，这些信息是如此容易获得——而网站只需稍加努力就能通过负责任的行为来保护用户的隐私。蓝色安全发现，没有在线银行会向这些简单的攻击泄露信息。当然，一个原因是，他们通常基于账户号码而不是电子邮件地址或自选名称来确认用户的身份。

安全意识强的组织通常在注册过程中包含一种谜题。通常，这是一种在复杂背景下以扭曲字体显示的随机单词。要继续请求，您必须将单词输入一个框中。诀窍在于，这个单词对人来说很容易阅读，但对计算机来说却很难或不可能，因此它阻碍了信息的自动收集。但组织必须为视力障碍者提供特殊的便利。

更好的方法是由反诽谤同性恋联盟采取的。当你在 glaad.org 注册时，会收到一封确认电子邮件。如果其他人尝试使用相同的电子邮件地址注册，注册似乎被接受，但网站会发送另一封电子邮件请求确认。虚假的注册者什么也不知道，而真实账户的拥有者会被通知到伪造尝试（并被要求将消息转发回 GLAAD）。

由设计不良的网站泄露的信息不会让其他人用你的信用卡产生费用。但是，某人轻易地建立关于你兴趣和活动的档案，这一点让人感到非常不安。而收集到的信息可以用来创建针对性的垃圾邮件或个性化的网络钓鱼尝试，利用关于你的信息——“波士顿红袜队球迷专享！”——来提取更有价值的数据，例如账户号码和密码。考虑到防止此类攻击是多么简单，网站运营商没有理由不采取必要的措施来保护他们的客户或会员。

有关过去专栏和仅在线的技术产品评论的集合，请点击这里

作者 斯蒂芬·H·威尔德斯特罗姆