HealthCare.gov sendet persönliche Daten an Dutzende von Tracking-Websites
EFF Forscher haben unabhängig voneinander bestätigt, dass diese healthcare.gov persönliche Gesundheitsdaten an mindestens 14 Dritt-Domänen senden ist, selbst wenn der Benutzer verfolgen nicht aktiviert hat. Die Informationen werden über den Referrer-Header gesendet, enthält die URL der Seite eine dritte Ressource anfordert. Der Referrer-Header ist ein wesentlicher Bestandteil des HTTP-Protokolls und wird für jede Anforderung, die über das Internet gemacht wird gesendet. Der Referrer-Header kann die angeforderte Ressource, welche URL kennen die Anforderung stammt. Dies würde zum Beispiel eine Website wissen, wer ihre Seiten verlinken wurde lassen. In diesem Fall jedoch die Referrer-URL enthält persönliche Gesundheitsdaten.
In einigen Fällen die Informationen auch, eingebettet in der Anfrage-String selbst gesendet wird, etwa so:
Type=20142003;Cat=201420;Ord=7917385912018;~oref=.Healthcare.gov/seeplans/85601/results/County=04019&Age=40&Smoker=1&Parent=&pregnant=1&MEC=&Zip=85601&State=AZ&Income=35000& & Schritt = 4?
Im obigen Beispiel wird eine URL an doubleclick.net von Ihrem Browser aufgefordert. Bis zum Ende dieser URL angehängt ist Ihr Alter, Rauchen Status, Preganacy Status, Elternstatus, Postleitzahl, Staat und Jahreseinkommen. Diese URL wird von Ihrem Browser aufgefordert, nachdem Sie die erforderlichen Informationen auf healthcare.gov ausfüllen und klicken um Krankenversicherungspläne anzeigen, denen Ihnen zusteht.
Im folgenden finden Sie eine Tabelle mit dem Dritt-Domänen EFF Forscher bestätigt erhielten die eigenen Gesundheitsdaten.
Domäne | PII im referrer | PII in Anfrage |
Akamai.NET | ✓ | |
Chartbeat.NET | ✓ | ✓ |
ClickTale.NET | ✓ | |
DoubleClick.NET | ✓ | ✓ |
Google.com | ✓ | ✓ |
Mathtag.com | ✓ | |
Mixpanel.com | ✓ | |
NRD-data.net | ✓ | |
Optimizely.com | ✓ | ✓ |
Reson8.com | ✓ | |
Rfihub.com | ✓ | |
Twitter.com | ✓ | |
Yahoo.com | ✓ | |
YouTube.com | ✓ |
Solche persönlichen Daten senden wirft erhebliche Datenschutzbedenken. Ein Unternehmen wie Doubleclick, z. B. zusammenpassen könnten sind persönliche Angaben von healthcare.gov mit einem bereits umfangreiche Fundgrube für Informationen über was Sie online lesen und welche Ihren Kaufvorlieben schaffen ein äußerst detailliertes Profil, wer Sie sind und wo Ihre Interessen liegen. Es könnte alles tun, die Grundlage hierfür ein Tracking-Cookie, den es setzt die auf jeder Website identisch sein würde, die Sie besuchen. Anhand dieser Daten konnte Doubleclick starten Anzeigen Sie rauchen oder schließen das Risiko von Krebs, die basierend auf wo Sie wohnen, wie alt Sie sind und Ihren Status als Raucher. DoubleClick beginnen Sie anzeigen im Zusammenhang mit Schwangerschaft, die peinliche und potenziell gefährliche Folgen haben könnte, wie z. B. beim Ziel einer Frau Familie mitgeteilt, dass sie vor schwanger war sie auch ihnen gesagt.
Es ist besonders beunruhigend, dass die US-Regierung personenbezogene Daten an Unternehmen der gewerblichen Wirtschaft auf einer Website, die angepriesen wird als der Ort für Menschen sendet, Krankenversicherungsschutz zu erhalten. Noch beunruhigender ist das Potenzial für Unternehmen wie Doubleclick, Google, Twitter, Yahoo, und andere, die tatsächliche Identität einer Person diese Daten zugeordnet. Google, hat dank richtiger Name Politik sicherlich Informationen eindeutig jemand mit Google-Services zu identifizieren. Wenn eine echte Identität, die von healthcare.gov erhaltenen Informationen verknüpft ist, wäre es eine massive Verletzung der Privatsphäre für Nutzer der Website.
Fremdanbieter-Ressourcen könnte auch zusätzliche Sicherheitsrisiken auf der healthcare.gov Website, mit jeder enthalten von Drittanbietern Ressource erhöhen die Angriffsfläche des Standortes bringen. Wenn ein Angreifer konnten nur eines der Ressourcen von Drittanbietern enthalten auf healthcare.gov gefährden könnte sie die Konten von jedem Benutzer des healthcare.gov möglicherweise beeinträchtigen. Der Angreifer könnte dann die Private Gesundheitsinformationen zu verkaufen oder halten Sie es für Lösegeld.
Jetzt empfiehlt EFF Softwareinstallation, die dritten verfolgen, wie EFFs Privatsphäre Badger blockiert werden. Datenschutz-Dachs blockiert die Referrer und die Verbindungen zu Websites Dritter auf healthcare.gov und schützen Ihre persönlichen Gesundheitsdaten.
Gesundheitsinformationen ist Teil der sensible und persönliche Informationen gibt. Private medizinische Daten Leute sollten nicht Drittfirmen ohne Zustimmung des Benutzers verfügbar. Diese Praxis ist bestenfalls fahrlässig und verheerend für die Verbraucher. Bei einem Miminum sollten healthcare.gov Drittanbieter-Tracker für jeden Benutzer deaktivieren, die eine Opt-out mit dem DNT Header anfordert. Healthcare.gov sollte wohl gute Datenschutzstandards für seine Nutzer treffen.
Präsident Obama wird seine Rede zur Lage der Union heute Abend geben, in denen er gegen Cyber-Sicherheit Probleme erwartet wird. Wenn Präsident Obama wirklich über Cybersicherheit betroffen wird, kann er in seinem eigenen Hinterhof zu starten, durch die Sicherung healthcare.gov möchten.
Dieser Beitrag erschien auf Electronic Frontier Foundation und hier unter Creative Commons Lizenz veröffentlicht.