Több mint 480 olyan világszerte népszerű weboldal van a neten, amelyek a felhasználó minden mozdulatát és billentyűleütését naplózzák külsős cégek szoftvereinek segítségével, így összegyűjtenek köztük érzékeny információkat is, például bankkártyaadatokat – derül ki a Princeton kutatóinak friss tanulmányából.
Az analitikai szoftvereket fejlesztő külsős cégek olyan szkripteket helyeznek el az ügyfelek oldalain, amik rögzítik a különböző böngészési műveleteket, kattintásokat, kurzormozgást, leütött betűket. Hasonló eszközöket régóta használnak a marketingesek vagy dizájnerek jellemzően csoportok követésére, hogy láthatóvá váljon, a weboldal melyik részén időznek legtöbbet a látogatók.
* 'Session replay' scripts record everything, like someone looking over your shoulder, and send it to a third party.
* Includes passwords, medical info, other personal info.
* Proper redaction is a near-impossible human & technical problem. pic.twitter.com/dIGwR7InPK— Arvind Narayanan (@random_walker) November 15, 2017
A fejlettebb, kritizált szoftverek azonban egyénekre lebontva gyűjtenek információkat, amikhez akár neveket, e-mail címeket is tudnak kapcsolni.
LESELKEDNEK A NETEZŐ HÁTA MÖGÖTT
A kutatók az 50 ezer leglátogatottabb weboldalt vizsgálták meg, melynek során kiderült, hogy ebből legalább 482 doménen használnak olyan, a műveletek visszajátszására alkalmas szoftvert, amit külsős cégek fejlesztettek. A hét legismertebb ilyen fejlesztő a Yandex, a FullStory, a Hotjar,a UserReplay, a Smartlook, a Clicktale és a Sessioncam.
A szakemberek úgy fogalmaztak: Nem kell ehhez amerikainak se lennünk, hiszen világszerte nézett weblapokról van szó. A wix.com, a shopify.com, az istockphoto.com, az intel.com, a t-mobile.com, a windows.com, az eset.com, a kaspersky.com, a logitech.com is szerepel azon oldalak listáján, amelyeken bizonyítékot találtak a műveletek rögzítésére.
A Princeton szakembereit leginkább az aggasztja, hogy az alapvető műveleteken túl rögzítésre kerülnek a dobozokba írt karakterek is, olyanok, amiket lehet, hogy végül nem is küld el a felhasználó.
Ez azt jelenti, hogy érzékeny személyes és pénzügyi információkat, többek köztA külsős cégek szervereiről azok pedig megfelelő kezelés és titkosítás hiányában illetéktelen kezekbe kerülhetnek, a látogató személyazonosság-lopás vagy más visszaélés áldozatává válhat.
EGY BEÉPÜLŐVEL MEGVÉDHETJÜK MAGUNKAT
Szerencsére a felhasználóknak lehetőségük van az ilyen szkriptek tevékenységét megakadályozni az AdBlock Plusszal, ami minden jelentősebb böngészőbe letölthető kiegészítőként. A tanulmány megjelenése után a szolgáltatás egy olyan frissítést is kiadott, ami kifejezetten ezt orvosolja.
