TU Darmstadt / ULB / TUprints

Improving Online Privacy and Security Through Crowdsourced Transparency Platforms and Operator Notifications

Maass, Max Jakob (2021)
Improving Online Privacy and Security Through Crowdsourced Transparency Platforms and Operator Notifications.
Technische Universität
doi: 10.26083/tuprints-00019190
Ph.D. Thesis, Primary publication, Publisher's Version

[img]
Preview
Text
Dissertation Max Maass Improving Online Privacy.pdf
Copyright Information: CC BY 4.0 International - Creative Commons, Attribution.

Download (5MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Improving Online Privacy and Security Through Crowdsourced Transparency Platforms and Operator Notifications
Language: English
Referees: Hollick, Prof. Matthias ; Herrmann, Prof. Dominik
Date: 2021
Place of Publication: Darmstadt
Collation: xxii, 197 Seiten
Date of oral examination: 2 July 2021
DOI: 10.26083/tuprints-00019190
Abstract:

Modern life relies on the internet for everything from communicating and shopping to banking and seeking medical advice. However, this growth of internet-based services also leads to a higher risk of security and privacy issues. Finding and remediating these issues is an important challenge which cannot be addressed through purely technical means, as legal, economic, and psychological factors can also play a role in how these issues are created and resolved. This dissertation approaches this challenge from two sides: we discuss how to collect data and detect issues in the web and email ecosystems, and how the operators of affected systems can be convinced to address them.

Today, efforts to understand internet ecosystems frequently rely on automated large-scale scans. These can efficiently investigate large numbers of systems, but cannot access some ecosystems that require manual actions (e.g., signing up for a newsletter or account). To gather research data and gain access to new ecosystems, we propose and develop two public transparency platforms for use by internet users which collect information about security and privacy issues in the web and email ecosystems using a crowdsourcing approach. We consult with legal experts to ensure the adherence of our platforms to the relevant legislation. Over the 4 years of operation the platforms collected over 3 million scan results, which can serve as a basis for future research.

Our platforms also revealed a number of privacy, security and compliance issues, which should be addressed by the operators of the affected systems. Past research has shown that notifying operators about issues and convincing them to make changes is a challenging problem and frequently results in unsatisfactory remediation rates. We thus investigate the factors influencing the success of large-scale notification campaigns. For this purpose, we conduct three notification studies that evaluate different methods to incentivize system operators to address the issues, like inducing a competitive pressure (leveraging our existing public platform), highlighting the security threat an issue poses, or informing the operators that their systems are not compliant with relevant legislation. We also evaluate the choice of the message medium and the sender as factors in the success of a notification campaign. We collaborate with researchers from economics, law, and psychology to gain additional insights into the behavior of organizations and individual operators. Finally, we derive organizational and methodological recommendations for future notification campaigns based on our experience.

Alternative Abstract:
Alternative AbstractLanguage

In unserem täglichen Leben nutzen wir das Internet für viele Zwecke, von der Kommunikation über den Einkauf bis zum Banking und der Suche nach medizinischem Rat. Die zentrale Rolle die das Internet für uns spielt bedeutet auch, dass es ein hohes Potential für Sicherheits- und Privatheitsprobleme hat. Diese zu finden und zu beheben ist eine wichtige Aufgabe, die nicht rein technischen addressiert werden kann: auch juristische, wirtschaftliche und psychologische Faktoren spielen eine Rolle darin, wie diese Probleme entstehen und behoben werden. Die vorliegende Dissertation betrachtet dieses Themengebiet von zwei Seiten: wir betrachten die Datensammlung und das automatische Auffinden von Problemen für Webseiten und Email-Newsletter, und wir prüfen, wie die Betreiber*innen dieser Systeme dazu gebracht werden können, die gefundenen Probleme zu beheben.

Versuche, den aktuellen Zustand verschiedener Internet-Ökosysteme zu verstehen, basieren häufig auf groß angelegten automatischen Scans. Solche Scans ermöglichen es, schnell eine große Anzahl von Zielen zu untersuchen, scheitern aber an Systemen die eine vorherige Anmeldung benötigen, wie beispielsweise E-Mail Newsletters. Daher entwickeln und beschreiben wir in dieser Dissertation zwei öffentliche Transparenz-Systeme, die mittels Crowdsourcing Sicherheits- und Privatheitsprobleme in Webseiten und E-Mail-Newsletters identifizieren. Die Ergebnisse werden anschließend aufbereitet und auf einer Webseite öffentlich angezeigt. Dabei stellen wir in Zusammenarbeit mit juristischen Expert*innen sicher dass der Betrieb dieser Plattformen mit geltendem Recht verinbar ist. In den letzten vier Jahren haben Nutzer*innen über diese Plattformen über 3 Millionen Untersuchungen angestoßen und damit einen wertvollen Datensatz für zukünftige Forschungsvorhaben gesammelt.

Durch diese Plattformen ist es uns ebenfalls gelungen, einen Datensatz von Privatheits-, Sicherheits- und Konformitätsprobleme auf Webseiten zu sammeln. Bisherige Forschungsergebnisse haben gezeigt dass ein einfacher Hinweis an die Betreiber*innen häufig nicht ausreichend ist, um die Probleme beheben zu lassen. Daher untersuchen wir Faktoren die den Erfolg oder Misserfolg einer solchen Benachrichtigungskampagne beeinflussen können. Insgesamt führen wir drei Benachrichtigungsstudien durch, mit denen wir verschiedene Methoden untersuchen, Betreiber*innen dazu zu bewegen, die Probleme zu lösen. Zu diesen Faktoren gehören unter anderem der Wettbewerb mit anderen Webseiten, eine detaillierte Information über die Risiken eines Sicherheitsproblems, oder der Hinweis auf geltendes Recht, welches die Webseite aktuell verletzt. Desweiteren betrachten wir den Einfluss, den das Medium und der Absender einer Nachricht haben. Diese Studien entstehen in Zusammenarbeit mit Forscher*innen aus der Wirtschaftsinformatik, Jura und Psychologie, um die Reaktionen aus der Perspektive der jeweiligen Disziplinen zu untersuchen. Wir schließen diese Dissertation mit einer Reihe organisatorischer und methodischer Empfehlungen für zukünftige Benachrichtigungsstudien, die wir aus unseren Erfahrungen ableiten.

German
Status: Publisher's Version
URN: urn:nbn:de:tuda-tuprints-191903
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Sichere Mobile Netze
DFG-Graduiertenkollegs > Research Training Group 2050 Privacy and Trust for Mobile Users
Date Deposited: 28 Jul 2021 08:14
Last Modified: 09 Aug 2022 10:21
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/19190
PPN: 483267708
Export:
Actions (login required)
View Item View Item