Tại sao người dùng Internet vẫn bị đánh cắp dữ liệu ngay cả khi đã nhận được cảnh báo trước?

Nghiên cứu được trình bày tại Hội thảo về bảo vệ người tiêu dùng và công nghệ của IEE 2020, không dựa trên dữ liệu khảo sát mà dựa trên lưu lượng truy cập trình duyệt thực tế. Các học giả đã phân tích lưu lượng truy cập web với sự trợ giúp của Đài quan sát hành vi bảo mật (SBO) của trường đại học. Bộ dữ liệu của nhóm nghiên cứu bao gồm thông tin được thu thập từ các máy tính cá nhân của 249 người tham gia. Thời gian thu thập dữ liệu từ tháng 1/2017 tới tháng 12/2019, bao gồm lưu lượng truy cập web, mật khẩu được sử dụng để đăng nhập vào các trang web lưu trữ trong trình duyệt.

Dựa trên dữ liệu phân tích, các học giả cho biết, trong số 249 người sử dụng chỉ có 63 người có tài khoản trên các trình duyệt đã bị đánh cắp dữ liệu trong khoảng thời gian thu thập. Trong số 63 người này chỉ có 21 người truy cập các trang web bị cảnh báo đánh cắp dữ liệu để thay đổi mật khẩu và trong số 21 người này, chỉ có 15 người thay đổi mật khẩu trong vòng ba tháng sau khi có thông báo về vụ đánh cắp dữ liệu.

Phân tích độ phức tạp của mật khẩu mới của người dùng, nhóm nghiên cứu cho biết chỉ có một phần ba người đã thay đổi mật khẩu thành mật khẩu mạnh hơn, còn lại tạo mật khẩu có độ bảo mật yếu hơn hoặc sử dụng lại các chuỗi ký tự từ mật khẩu trước đó hay sử dụng mật khẩu tương tự với các tài khoản khác được lưu trữ trong trình duyệt web của họ. Điều này đã cho thấy người dùng thiếu hiểu biết cần thiết trong việc chọn mật khẩu tốt hơn hoặc duy nhất.

Mặc dù nghiên cứu này có quy mô nhỏ so với các nghiên cứu khác nhưng nó đã phản ánh chính xác hành vi của người dùng sau mỗi vụ đánh cắp dữ liệu trong thực tế.