Ha van egy kellemetlen érzéke arra, hogy valaki a válla fölött nézi az internetet, akkor nem paranoid. Egy új tanulmány szerint több száz webhely - köztük a microsoft.com, az adobe.com és a godaddy.com - olyan szkripteket alkalmaz, amelyek valós időben rögzítik a látogatók billentyűleütéseit, egérmozgásait és görgetési viselkedését, még a bemenet elküldése vagy későbbi törlése előtt. .
A munkamenet-visszajátszási szkripteket harmadik fél által készített elemzőszolgáltatások biztosítják, amelyek célja, hogy a webhely-üzemeltetők jobban megértsék, hogyan működnek a látogatók webes tulajdonságaikkal, és azonosítanak bizonyos zavaró vagy törött oldalakat. Amint a nevük sugallja, a szkriptek lehetővé teszik a operátorok számára az egyes böngészési munkamenetek újraindítását. Minden kattintás, bevitel és görgetés rögzíthető és később lejátszható.
A a múlt héten közzétett tanulmány Számolt be, hogy 482 az 50,000 legkeresettebb webhelyek közül ilyen szkripteket alkalmaz, általában egyértelmű nyilvánosságra hozatal nélkül. Nem mindig könnyű felismerni az ilyen szkripteket használó webhelyeket. A tényleges szám szinte biztosan sokkal magasabb, különösen a vizsgált top 50,000 XNUMX-n kívüli helyszínek között.
„Az oldal tartalmának harmadik féltől származó visszajátszási szkriptekkel történő gyűjtése érzékeny információkat, például orvosi állapotokat, hitelkártya-adatokat és más, az oldalon megjelenő egyéb személyes adatokat a felvétel részeként harmadik félnek szivároghat ki” - Steven Englehardt , a Princetoni Egyetem doktorjelöltje írta. „Ez a felhasználókat személyazonosság-lopásnak, online csalásoknak és egyéb nem kívánt viselkedésnek teheti ki. Ugyanez vonatkozik a felhasználói adatok gyűjtésére a fizetési és regisztráció során. ”
Englehardt visszajátszó szkripteket telepített hat legszélesebb körben használt szolgáltatásból, és úgy találta, hogy mindegyikük különböző mértékben tette ki a látogatók privát pillanatait. A fiók létrehozása során például a szkriptek legalább részleges adatbevitelt naplóznak különböző mezőkbe. A FullStory, a Hotjar, a Yandex és a Smartlook szkriptjei voltak a leginkább tolakodók, mert alapértelmezés szerint minden mezőbe beírt bemenetet rögzítettek a nevek, e-mail címek, telefonszámok, címek, társadalombiztosítási számok és születési dátumok számára.
A következő videó rögzítette az adatokat valós időben a FullStory felé továbbítva:
https://www.youtube.com/watch?v=l0Yc8s0DTZA
Még akkor is, amikor a szolgálatok lépéseket tettek az adatok egy részének elfedésére, gyakran tették ezt olyan módon, amely továbbra is veszélyeztette a látogatók magánéletét. Például a Smartlook és a UserReplay összegyűjtötte a jelszó mezőkbe beírt karakterek számát. A UserReplay naplózta a látogatók hitelkártyájának utolsó négy számjegyét is.