Figyelmeztetés a linkrövidítő (url shortener) használatával kapcsolatban

augusztus 7, 2020
Cikkek, GDPR oktatás

A Spanyol Adatvédelmi Hatóság (’AEPD’) legutóbbi sajtókommunikációjában felhívja a figyelmet, hogy bizonyos esetekben veszélyes lehet rövidített linkeken (un. linkrövidítő, angolul url shortener) elérni bizonyos internetes honlapokat. Mint nemrég írtunk róla, az AEPD Európa legaktívabb Hatósága, a rendszeres bírságokon túl tájékoztató anyagokat is kiadnak, például az internetes sütikkel, vagy éppen az arcfelismeréssel kapcsolatban.

A linkek rövidítésével foglalkozó szolgáltatások az utóbbi időben a közösségi oldalak használatával együtt igencsak elterjedtek, ugyanis az ilyen közösségi oldalak posztjaiba nem mindig lehet akármilyen hosszúságú linkeket beszúrni (különösen a Twitter esetében), ráadásul nem is néz ki túl jól egy krikszkrakszokkal teli link. Azonban a linkrövidítő használatakor fennállhat a veszély, hogy azok nem a várt oldalra mutatnak, ezért adatvédelmi kockázattal járnak.

Alapesetben, amikor egy felhasználó rákattint egy linkre, akkor az eszköze csatlakozási kérelmet küld a távoli gép számára, ha az időben válaszol, létrejön a kapcsolat és betöltődik az oldal. A linkrövidítő használata esetén (szerencsés esetben) eggyel több lépés történik, mivel a céloldal elérése előtt az eszközünknek kapcsolatot kell létesítenie a szolgáltatás szerverével is (lásd ábra).

A Hatóság azt találja ezzel kapcsolatban problémásnak, hogy nem minden esetben garantált, hogy csak egy extra lépés történik a kattintás és a cél elérése között, tulajdonképpen beállításoktól függően ez akármennyi lehetne úgy, hogy az átlag felhasználónak erről fogalma sincs. De, ami még ennél is aggasztóbb, hogy minden ilyen plusz kapcsolat létrejöttekor a céleszköz hozzáférhet és megszerezheti a felhasználó számos személyes adatát (pl. IP cím, helyi IP, hálózatra és konfigurációra vonatkozó információ). Az AEPD listába szedte a legnagyobb kockázatokat:

• A rövidített link lehet, hogy nem az általunk várt oldalra mutat, mely lehet egy népszerű weboldal másolata, melyet adathalászatra használnak.
• Minden közbenső kapcsolat a felhasználó eszköze és az elérendő weboldal között plusz lehetőséget ad az „állomásnak”, hogy az adatainkhoz hozzáférjen.
• Az átlagfelhasználó számára nem világos, hogy hány ilyen „állomás” van az ő kattintása és a tényleges elérés között.
• A legtöbb ilyen szolgáltatás úgy van megtervezve, hogy figyelje felhasználóit és profilt alkosson róluk. Ezt általában kizárólag marketing célokra használják, de az így megszerzett adatok ugyanúgy felhasználhatók lehetnének egy érintett pontos helyének meghatározásához.
• Néhány esetben a sima „adatgyűjtésen” kívül más módszereket is alkalmaznak, pl. sütik harmadik fél részéről, vagy lenyomat-készítés.

Bár ezek a szolgáltatások sok felhasználó számára hasznosak lehetnek, az AEPD figyelmeztet, hogy használatuk előtt tartsunk be néhány egyszerű lépést:

• Általánosságban ne bízzunk meg a rövidített linkekben és ne nyissuk meg őket azonnal, különösen, ha a küldő nem ismerős számunkra, vagy ha a link egy körüzenet részeként jut el hozzánk. Gyanú esetén a legjobb gyakorlat nem kattintani.
• Amennyiben rá kell kattintanunk egy gyanús linkre, azt előbb ellenőrizzük le egy harmadik szolgáltatás segítségével (virustotal.com, ulrxray.com, urlex.org), melyek meg tudják mondani, hogy a link valóban oda mutat-e, mint várjuk, illetve képesek megmondani az átirányítások számát.
• Soha ne adjuk meg jelszavunkat vagy más személyes adatainkat olyan oldalon, ahova rövidített linken keresztül jutottunk. A legjobb megoldás ennek elkerülésére új ablakot nyitni, és ’hagyományos’ módon eljutni a kívánt oldalra. Bár több időbe kerül, így elkerülhető, hogy fontos jelszavaink vagy banki adataink illetéktelen kezekbe kerüljenek.

Relevancia érték: 3 Spanyolország

Az ír hatóság meg fogja tiltani az amerikai adattovábbítást a FB-nak?!

210M forint bírság adatvédelmi incidens miatt az UniCredit Banknak

Dánia: Adatvédelmi panasz a törlés elmulasztása miatt