Περισσότεροι από 400 δημοφιλείς ιστότοποι καταγράφουν κάθε πληκτρολόγηση, ισχυρίζεται μελέτη του Princeton

Οι ερευνητές του CITP υποστηρίζουν ότι πάνω από 400 από τους κορυφαίους 50.000 ιστότοπους του κόσμου χρησιμοποιούν "script replay session" για να παρακολουθήσουν τη συμπεριφορά των χρηστών. Αν και αυτό μπορεί να είναι αρκετά ενοχλητικό, οι ερευνητές προσθέτουν ότι αυτές οι τοποθεσίες συχνά δεν αποσπούν προσωπικά αναγνωρίσιμες πληροφορίες χρηστών από τα δεδομένα συμπεριφοράς που συλλέγουν.


Αναλύοντας τα ευρήματά τους την περασμένη εβδομάδα στην πρώτη από τις διάφορες δημοσιεύσεις σχετικά με την ιδιωτική ζωή στο διαδίκτυο, οι ερευνητές του CITP, Steve Englehart, Gunes Acar και Arvind Narayan, εξέτασαν επτά από τις κορυφαίες εταιρίες αναπαραγωγής συνεδριών. Αυτά ήταν, συγκεκριμένα, τα Clicktale, FullStory, Hotjar, SessionCam, Smartlook, UserReplay και Yandex. Για να διερευνήσουμε ποια δεδομένα συλλέχθηκαν και πώς πραγματοποιήθηκε η συλλογή, οι ερευνητές δημιούργησαν δοκιμαστικές σελίδες με σενάρια επανάληψης συνεδριών από έξι από τις προαναφερθείσες εταιρείες. Ήταν επίσης σε θέση να εκτιμήσουν τον αριθμό των δημοφιλών ιστότοπων που χρησιμοποιούν τέτοιες δέσμες ενεργειών.

Οι ερευνητές υποστηρίζουν ότι τουλάχιστον 482 από τους κορυφαίους 50.000 ιστότοπους στον κόσμο χρησιμοποιούν script replay session και ότι αυτός ο αριθμός μπορεί να μην είναι πολύ μεγάλος, καθώς τα σενάρια δεν καταγράφουν τις ενέργειες κάθε χρήστη που επισκέπτεται, απορρίπτοντας το ποσοστό ανίχνευσης των ερευνητών . Οι ερευνητές έχουν συντάξει μια πλήρη λίστα των ιστοτόπων που χρησιμοποιούν script που βρήκαν. Αυτή η επιχειρηματική πρακτική μπορεί να αντιστραφεί στους χρήστες, οι ερευνητές λένε ότι πολλές πληροφορίες συνήθως καταλήγουν να συλλέγονται κατά τη διάρκεια κάθε συνεδρίας, μερικές από τις οποίες μπορούν να συνδεθούν με προσωπικά αναγνωρίσιμα δεδομένα.

"Η συλλογή περιεχομένου σελίδας από τα σενάρια επανάληψης τρίτων μπορεί να προκαλέσει τη διαρροή ευαίσθητων πληροφοριών, όπως ιατρικών συνθηκών, στοιχείων πιστωτικών καρτών και άλλων προσωπικών πληροφοριών που εμφανίζονται σε μια σελίδα, ως μέρος της εγγραφής στο τρίτο μέρος. κλοπή ταυτότητας, απάτες στο διαδίκτυο και άλλες ανεπιθύμητες συμπεριφορές, όπως και για τη συλλογή εισερχομένων χρηστών κατά τη διάρκεια των διαδικασιών πληρωμής και εγγραφής », εξηγούν οι ερευνητές της CITP.

Ορισμένοι παροχείς δέσμης ενεργειών επανάληψης περιόδων λειτουργίας - όπως το SessionCam και το UserReplay - δεν συλλέγουν καθόλου δεδομένα χρηστών, για να παρακολουθούν κλικ και σχεδόν όλα παρέχουν έναν πίνακα ελέγχου με εργαλεία αυτόματης και χειροκίνητης σύνταξης για την κατάργηση δεδομένων χρήστη. Εντούτοις, παραμένουν μερικά προβλήματα με αυτήν την προσέγγιση, καθώς μερικά δεδομένα χρηστών συνήθως καταλήγουν να συλλέγονται λόγω του τεράστιου όγκου που καθιστά την χειρωνακτική διαδραφή ανέφικτη, ενώ το περιεχόμενο που εμφανίζεται στην οθόνη συλλέγεται πάντοτε. Αυτό το τελευταίο είναι ιδιαίτερα ανησυχητικό, καθώς πολλές φορές οι ιστότοποι με άλλες μεθόδους επεξεργασίας δεδομένων χρήστη θα καταλήξουν να συγκεντρώνουν όλο το περιεχόμενο που εμφανίζεται - το οποίο στην περίπτωση των Walgreens περιείχε ονόματα χρηστών, ιατρικές συνθήκες και συνταγές.

Τέλος, ενώ οι ιστοτόποι που φιλοξενούν δέσμες ενεργειών επανάληψης συνεδριών μπορεί να προστατεύονται από το κρυπτογραφημένο πρωτόκολλο HTTPS, τα πακέτα στοιχείων επανάληψης περιόδου σύνδεσης μπορούν να χρησιμοποιούν το HTTP με ευπάθεια, όπως αυτά που παρέχονται από τα Hotjar, Smartlook και Yandex. Το HTTP θα επέτρεπε στους επιτιθέμενους να χρησιμοποιούν επιθέσεις "man-in-the-middle" για να έχουν πρόσβαση στα δεδομένα χρήστη καθώς μεταδίδονται σε διακομιστές τρίτου μέρους. Το Yandex σε μια δήλωση στο Motherboard είπε: "Το HTTP χρησιμοποιείται σκόπιμα, καθώς οι καταγραφές συνεδριών φορτώνουν ιστότοπους χρησιμοποιώντας iframe. Δυστυχώς, η φόρτωση περιεχομένου HTTP από ιστότοπους HTTPS απαγορεύεται στο επίπεδο του προγράμματος περιήγησης. "

Η μελέτη σημειώνει ότι οι λίστες αποκλεισμού διαφημίσεων και οι υπηρεσίες προστασίας παρακολούθησης όπως το EasyList και το EasyPrivacy παρέχουν κάποια ασφάλεια, αλλά δεν εμποδίζουν τα πάντα. Η μητρική εταιρεία αναφέρει ότι το Adblock Plus ενημερώθηκε μετά τη δημοσίευση της μελέτης CITP για να αποκλείσει όλα τα ονόματα των scripts.

 techfreaks