Para saber quais sites não cuidam da sua privacidade como deveriam, o Wall Street Journal analisou os 50 principais domínios nos Estados Unidos, além de 20 outros sites sobre assuntos mais sensíveis, como namoro ou saúde.
Eles descobriram que 25 deles – incluindo WordPress, LinkedIn e Ask.com – enviam dados pessoais para outros sites sem qualquer criptografia, usando a sua sessão do navegador.
Entre os dados, estão informações que permitem identificar você (nome real, e-mail, nome de usuário) além de outras menos invasivas (como idade/ano de nascimento e CEP).
A metodologia parece ser bem boa:
O WSJ seguiu o procedimento sugerido de registro em cada site, incluindo confirmação por e-mail quando necessário. Além de fazer o registro, o WSJ se desconectou de cada conta, fez o login novamente, e navegou por todos os tipos conhecidos de páginas no site – por exemplo, páginas de artigos, perfis e páginas de configuração. O WSJ limpou do computador de teste os arquivos de rastreamento, conhecidos como cookies, entre cada sessão de navegação.
Durante cada sessão de navegação, o WSJ usou o mitmproxy, um software de código aberto, para inspecionar os dados sendo transmitidos pelos sites e para eles. Este método revela todos os dados sendo transmitidos através do navegador. Isto serve como um “limite inferior” para compartilhamento de dados; as empresas também podem transmiti-los sem usar a sessão do navegador. A transferência de informação para os sites em si – ou para domínios que pertençam a estes sites – não foi considerada como vazamento de dados, a menos que o domínio sirva a um propósito muito diferente do site original.
Claro, você pode ter aceitado que outras empresas entrem em contato com você ao se registrar nesses sites. Mas você concorda que o site transmita suas informações pessoais para outros sites sem qualquer segurança? Não me lembro de ver essa caixa de seleção…
Entre os sites que cometem esta falha, estão: Ask.com, LinkedIn, WordPress, Photobucket, Pinterest, OKCupid e até mesmo o WSJ.com.
Eles enviam seus dados pessoais sem proteção para sites de anúncios (Google AdWords, DoubleClick), de medição de audiência (Google Analytics, ScorecardResearch) ou para o Facebook.
Entre os sites analisados que NÃO compartilham seus dados tão abertamente, temos: Google, Facebook, Amazon, Bing, Wikipédia, Twitter, Tumblr e Flickr.
A lista completa dos sites, além da resposta de cada um deles, está aqui: [WSJ e WSJ]