Sondaggi anonimi che non sono così anonimi

60

In passato ho completato un sondaggio "anonimo" al lavoro solo per scoprire che il mio datore di lavoro era in grado di raccogliere molte informazioni non anonime da questo sondaggio. Ubicazione, nome del responsabile, ecc. Nessuna di queste informazioni è stata fornita nel sondaggio. Questo mi porta a credere che in qualche modo il sito web sia stato in grado di identificare qualche forma di informazione dell'utente.

C'è un modo in cui una pagina web può leggere l'utente o altre informazioni relative al sistema? Il sito in questione ha elementi aspx e js.

Non riesco a pensare a nessun altro modo in cui potrebbero identificare l'utente. Il link non appare unico. Il browser è IE, l'ambiente è Win7 su Citrix.

    
posta iShaymus 07.03.2016 - 11:53
fonte

6 risposte

90

Se il sito è basato su file ASPX, allora è più che probabile che si tratti di un'applicazione ASP.NET - molto probabilmente ospitata su IIS.

IIS ha una casella di controllo molto semplice per abilitare l'autenticazione integrata di Windows.

IE, su Windows 7, invierà per impostazione predefinita le credenziali a qualsiasi server Web nella intranet locale. (Questa non è la tua password, non ti preoccupare, ma è l'autenticazione basata su Windows - Kerberos o NTLM).

Questo è molto semplice per associare il tuo account di dominio di Windows alle risposte del tuo sondaggio ...

    
risposta data 07.03.2016 - 12:31
fonte
32

È semplicemente incredibile, e un trucco davvero vecchio.

Crea un sondaggio diverso per ogni dipartimento, anche se i sondaggi hanno le stesse domande.

  • Tutti quelli che rispondono a Survey X provengono dal Dipartimento A.
  • Tutti quelli che rispondono a Sondaggio Y provengono dal Dipartimento B.

Quindi, devi solo schiacciare i risultati e il gioco è fatto!

Questo è sufficiente per fare un sacco di raccolta di informazioni, senza trucchi speciali.

Le banche brasiliane hanno fatto qualcosa di simile, su sondaggi cartacei - ogni manager doveva distribuire ai suoi subordinati copie del sondaggio. Tuttavia, ogni manager ha ottenuto le sue copie su carta di un colore diverso, quindi tutti quelli che hanno risposto alla copia gialla provenivano da RH, tutti quelli che hanno risposto alla copia blu provenivano da Finanze, tutti quelli che hanno risposto alla copia rosa provenivano dalle vendite e così via. Anche se non hai chiesto il dipartimento dei dipendenti, il nome o il numero di registro, sapevi da dove si trovava e in quale dipartimento lavorava.

    
risposta data 07.03.2016 - 12:51
fonte
14

Il sito web registrerà il tuo indirizzo IP. La rete della Società assegna il tuo indirizzo IP. Basta associare i due ...

    
risposta data 08.03.2016 - 02:39
fonte
12

La deidentificazione dai sondaggi è un grosso problema nelle statistiche, in quanto ciò che le persone considerano come dati anonimi di solito non è quando sono aggregati.

Anche se hai un modo completamente sicuro di inserire dati in modo anonimo e qualcuno non può accedere ai registri di chi ha inserito cosa, le risposte nel sondaggio sono spesso sufficienti per identificarti.

Considera questo sondaggio di esempio:

  1. What is your gender? Male / Female
  2. What is your age bracket?
    • < 25
    • 25 - <35
    • 35 - <45
    • > 45
  3. What is your work area?
    • HR
    • Management
    • IT Support
    • Sales
  4. On a scale of 1-10 how much to you like working here? ____

Individualmente ogni domanda è abbastanza inutile, ma usando i primi 3, anche in una grande azienda puoi facilmente capire cosa pensano tutti dell'organizzazione.

Si consideri: Bob (Maschio, 37 in HR) e Jane (Femmina, 37 in HR), utilizzando solo i nostri campi sopra possiamo già chiaramente de-identificare le loro risposte.

Inoltre, dal momento che HR ha già accesso a un elenco di genere, età e area di lavoro, potrebbero semplicemente fare un riferimento incrociato con entrambi i set di dati per ottenere direttamente il punteggio di ogni individuo. C'è sempre la possibilità di scontri, ma quando il numero di domande identiche aumenta, allora le probabilità di collisione diminuiscono drasticamente.

    
risposta data 08.03.2016 - 02:25
fonte
7

Un modo ancora più specifico per utente è quello di creare i sondaggi da un elenco. L'elenco include nomi dei dipendenti, e-mail, ID, ecc. È quindi possibile inviare un sondaggio con un collegamento univoco a ciascun indirizzo e-mail per il dipendente e chiamarlo anonimo. Anche se questo non è etico (dicendo che un sondaggio è anonimo quando in realtà non lo è), l'ho visto fare in alcune diverse istanze e l'ho fatto anche usando PHP / JS.

Un esempio potrebbe essere la tua email che riceve un link come link . La variabile id può contenere informazioni codificate che si trovano nell'elenco e univoche per il dipendente. Le aziende usano anche questo per raccogliere informazioni su ciò che persone specifiche dicono in detti sondaggi.

    
risposta data 07.03.2016 - 16:30
fonte
0

Se sei preoccupato per il tuo indirizzo IP, potresti voler compilare il sondaggio nel Tor Browser. Certo, potresti dover abilitare Javascript, che potrebbe darti.

Inoltre, poiché il sondaggio è anonimo, potresti anche solo ignorarlo se ritieni che il sondaggio non sia veramente anonimo. Idealmente, non sarebbero in grado di sapere che non hai compilato il sondaggio se gli URL del sondaggio non sono univoci e non è richiesto alcun accesso.

    
risposta data 09.03.2016 - 09:36
fonte

Leggi altre domande sui tag