Больше 400 популярных сайтов записывают каждый ваш удар по клавишам и каждое движение мыши

Session Replay

Сколько раз было такое, что вы посмотрите что-нибудь онлайн, а затем находите рекламу этой вещи на каждой посещаемой вами веб-странице или в социальных сетях?

Веб-трекинг — не новшество

Большинство сайтов записывают онлайн-активность своих пользователей, но в недавнем исследовании Принстонского университета было выдвинуто предположение, что сотни сайтов записывают каждое ваше действие в онлайне, включая поиски, прокрутку, удары по клавишам и каждое движение.

Исследователи из Центра политики в области информационных технологий Принстонского университета (CITP) проанализировали 50 тыс. сайтов мира, занимающие верхние позиции в рейтингах Alexa, и обнаружили что 482 сайта, многие из которых относятся к значимым, используют новые техники веб-трекинга для отслеживания каждого движения своих пользователей.

Техника повторного пригрывания сессии, «Session Replay», используется даже самыми популрными сайтами, такими как The Guardian, Reuters, Samsung, Al-Jazeera, VK, Adobe, Microsoft и WordPress для записи каждого движения, сделанного пользователем при перемещении по странице, и эти невероятно обширные данные отсылаются затем третьей стороне для анализа.

Опасность скриптов «Session Replay»

Скрипты повторного проигрывания сессий обычно создаются для сбора данных, касающихся того, что «цепляет» пользователя. Эти данные могут быть использованы разработчиками для улучшения сайта для конечного пользователя.

https://youtu.be/l0Yc8s0DTZA

Но что касается этих скриптов, они записывают не только ту информацию, которую вы осознанно передаете сайту. Например, они записывают текст, который вы впечатываете при заполнении формы, а затем удаляете прежде чем нажать «Отправить».

«Все больше и больше сайтов используют «Session Replay»-скрипты. Эти скрипты записывают ваши удары по клавишам, движения мыши, прокрутку, а также содержимое страниц, которые вы просматриваете, и отсылают их на сторонние серверы», – пишет исследователь из Принстона Стивен Энглхардт в записи блога под баннером «Никаких баннеров».

«Сбор содержимого страницы сторонними скриптами может привести к тому, что важная личная информация, такая как медицинские данные или детали кредитных карт, может попасть в чужие руки в качестве части записи. Это может привести к краже личных данных, онлайн-мошенничеству и другим нежелательным событиям».

Больше всего тревожит то обстоятельство, что информация, собранная скриптами повторного проигрывания, не может сохранять «разумную анонимность». Некоторые компании, поставляющие программное обеспечение для повторного проигрывания сессий даже позволяют собственникам сайтов привязывать детали записей к реальным личностям пользователей.

Сервисы, предлагающие услуги Session Replay, могут записывать ваши пароли

Ваши пароли под угрозой

Исследователи рассмотрели некоторые из ведущих компаний, включая FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar и Yandex, которые предлагают обслуживание session replay ПО, и обнаружили, что большая часть этих служб прямо исключают из записи поля ввода пароля.

Однако, чаще всего дружественные к мобильным устройствам формы для входа, использующие текстовые поля для хранения незашифрованных паролей, не защищены от записи, а это приводит к тому, что ваши конфиденциальные данные, включая пароли, номера кредитных карт и даже коды их защиты становятся явными.

Затем эти данные передаются третьим сторонам для анализа наряду со всей собранной информацией.

«Мы обнаружили по меньшей мере один сайт, где пароль, введенный и форму регистрации, просачивался в SessionCam, даже если форма не отправлялась», – говорит исследователь.

Также исследователи поделились видео, которое показывает, как много деталей о посетителе сайта могут собрать эти скрипты.

Топовые мировые сайты записывают каждый ваш удар по клавишам

Есть много значительных фирм, использующих скрипты повторного проигрывания сессий с самыми благими намерениями, но поскольку эти данные собираются без уведомления пользователя, эти сайты просто сужают зону приватности пользователя.

Также всегда остается возможность, что эти данные попадут в плохие руки.

Помимо факта, что это происходит без введома пользователей, люди, ответственные за некоторые из этих сайтов, также могут не знать, что у них внедрен этот скрипт, а это несколько пугает.

Среди компаний, использующих подобные программы, числятся The Guardian, Samsung, Al-Jazeera, VK, Adobe, Microsoft, WordPress, CBS News, the Telegraph, Reuters и торговый гигантв США – Home Depot.

Так что, если вы залогинитесь на одном из этих сайтов, вам стоит ожидать, что все, что вы напишете, напечатаете или сдвинете с места, будет записано.

***
Подписывайтесь на наш канал в Telegram!
[customscript]techrocks_custom_after_post_html[/customscript]
[customscript]techrocks_custom_script[/customscript]

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Прокрутить вверх