Editor Top
Crédito: Unsplash/CC0 Dominio público
Cuando una persona solicita trabajar para Uber o Lyft, debe completar varios formularios en línea que detallan información importante, incluida su fecha de nacimiento y su licencia de conducir.
Los solicitantes también deben proporcionar información más confidencial, como su número de Seguro Social.
Nuevo noreste investigaciónpublicado en Procedimientos sobre tecnologías de mejora de la privacidadha revelado que hasta hace poco esas empresas de transporte habían estado enviando involuntariamente esos datos a TikTok y Meta, dos de las empresas de redes sociales más grandes del mundo.
«Lyft compartió hashes sin sal del SSN de los trabajadores con Facebook (Meta) y TikTok, mientras que Uber compartió hashes sin sal del SSN con Facebook», escribieron los investigadores en el artículo.
Los hashes se utilizan en ciberseguridad para dificultar la recopilación de información por parte de los piratas informáticos transformando los datos en una cadena de caracteres. Los hashes sin sal se consideran inseguros porque no son aleatorios como lo sería un hash salado.
David Choffnes, profesor de ciencias informáticas y experto en ciberseguridad de la Universidad Northeastern, es uno de varios investigadores que descubrieron problemas de seguridad con seguimiento de píxelesque son herramientas de análisis que siguen a los usuarios en la web.
Los píxeles de seguimiento son pequeñas líneas de código incrustadas en imágenes en la interfaz de un sitio. Permiten a las empresas ver el comportamiento de los usuarios y recopilar información valiosa para sus esfuerzos publicitarios.
«Casi todos los sitios web que visitas hoy en día tienen rastreadores», dice Choffnes. «Si alguna vez te preguntaste si has estado en Facebook o Instagram y ves anuncios que eran muy relevantes para un sitio web que estabas viendo, es porque Meta, la empresa matriz, tiene rastreadores en varios sitios web. Saben quién eres y qué sitios web estás visitando. Lo mismo ocurre con TikTok y con otras empresas de ese mercado».
Se ha incentivado a empresas como Uber y Lyft a agregar estos rastreadores a sus sitios web porque, a cambio, Meta, TikTok y otros brindan a estas empresas herramientas gratuitas que les permiten analizar su propio tráfico web, explica Choffnes.
Lo que Choffnes y sus colegas descubrieron fue que estos píxeles recopilaban inadvertidamente datos de formularios web de aplicaciones privadas y luego enviaban esos datos directamente a Meta y TikTok.
«El problema aquí es que las empresas están implementando el seguimiento en muchos casos para ayudar con los anuncios dirigidos, comprender la efectividad de los anuncios y, en última instancia, la monetización. Debido a la forma en que se configuran estas cosas, a menudo estas empresas están absorbiendo una gran cantidad de datos sobre las personas. , incluidas cosas que colocamos en formularios web donde no hay ninguna advertencia que diga: ‘Oye, tus datos también se enviarán a Facebook cuando hagas clic en enviar'», dice el equipo.
Choffnes y sus colegas pudieron descubrir estas vulnerabilidades siguiendo el mismo proceso que seguiría un trabajador interesado al registrarse para ser conductor de los servicios. En particular, solo descubrieron que el problema estaba presente cuando presentaron la solicitud utilizando el sitio web de escritorio de Uber o Lyft.
Se inspiraron para realizar los experimentos porque estaban interesados en ver cuán vulnerables son los trabajadores informales cuando comparten sus datos personales para conseguir empleo, dice.
«El contexto más amplio analizaba la privacidad de los trabajadores autónomos y cómo se trata de un grupo de personas que a menudo no tienen elección en términos de a qué cantidad de este seguimiento en línea están expuestos, por lo que estábamos tratando de cuantificar cuánto de este seguimiento en línea están expuestos. sus datos personales están expuestos, qué partes los obtienen y qué tipo de datos están expuestos», añade.
Por parte de Uber y Lfyt, Choffnes dice que cuando los investigadores compartieron sus hallazgos con las empresas, rápidamente trabajaron para solucionar las vulnerabilidades.
«La palabra que se utilizó en nuestra correspondencia fue ‘involuntario'», dice Choffnes. «No tenían intención de hacer esto. Una vez que supieron cuál era el problema, sí, era sólo una opción de configuración. Estos píxeles no tienen que recopilar datos de los formularios web», afirma.
«Puedes decirles que no lo hagan, pero es revelador que parecen estar activados de forma predeterminada, ya sea simplemente por un descuido de alguien que lo configuró inicialmente para su sitio web o si los propietarios de estos sitios web cuando se registran para recibir estos píxeles guiado para encenderlos.»
Choffnes y sus colegas proponen que las empresas no deberían tratar los datos de los trabajadores de la misma manera que manejan los datos de los consumidores en general.
Para solicitar un empleo, debe compartir datos como su identificación fiscal, número de Seguro Social, dirección postal y número de teléfono, destaca.
«Es muy diferente cuando eres simplemente un consumidor de ese servicio», afirma. «Si quieres que alguien te entregue la comida, necesitas una tarjeta de crédito, una dirección de correo electrónico y eso es todo».
Sin embargo, tal como están configuradas las cosas actualmente en la mayoría de los sitios web, estas empresas tratan los datos de los trabajadores y los datos de los consumidores aproximadamente de la misma manera.
Estas empresas deben hacer un trabajo mucho mejor a la hora de implementar declaraciones de limitación de propósito, destaca, que son esencialmente declaraciones escritas que establecen explícitamente cómo la empresa planea utilizar los datos de sus empleados y cumplir su palabra.
Entonces, ¿qué pueden hacer los trabajadores para protegerse contra la divulgación de sus datos personales sin su consentimiento?
En Europa, según el Reglamento General de Protección de Datos (GDPR), las empresas deben establecer limitaciones de finalidad. Sin embargo, no existen reglas de este tipo en Estados Unidos y no tenemos ningún tipo de ley federal de privacidad de datos que proteja a estos trabajadores, destaca Choffnes.
Choffnes destaca que es necesario hacer más para que estas empresas sean más responsables y transparentes en sus acciones.
«Necesitamos más transparencia y defensa de la privacidad en general», afirma. «Si no queremos que empresas como Meta y TikTok recopilen nuestros datos personales de formularios web, deberíamos hacerlo ilegal. No debería permitirse sin una divulgación destacada que antes de presionar enviar diga: ‘Espera, estoy’ A punto de enviar esos datos a un grupo de otras personas también. ¿Estás de acuerdo con eso? Incluso entonces, eso suena bastante terrible y tal vez no debería suceder en absoluto».
Más información:
Amogh Pradeep et al, Trabajo informal ¿a qué coste? Explorando los riesgos de privacidad de la participación en plataformas de trabajo por encargo en los EE. UU. Procedimientos sobre tecnologías de mejora de la privacidad (2024). DOI: 10.56553/popets-2025-0027
Esta historia se republica por cortesía de Northeastern Global News. noticias.northeastern.edu.
Citación: Uber y Lyft enviaron involuntariamente los números de seguro social de los trabajadores a empresas de redes sociales, informan los investigadores (2024, 18 de noviembre) recuperado el 18 de noviembre de 2024 de https://techxplore.com/news/2024-11-uber-lyft-unintentionally-gig -trabajadores.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
GIPHY App Key not set. Please check settings