Αν έχετε μια περίεργη αίσθηση ότι κάποιος σας παρακολουθεί στενά στο διαδίκτυο, μην φοβηθείτε, δεν είστε παρανοϊκός. Μια νέα έρευνα, ανακάλυψε ότι εκατοντάδες ιστοσελίδες (microsoft.com, adobe.com και godaddy.com) ενσωματώνουν scripts που καταγράφουν τα keystrokes των επισκεπτών, τις κινήσεις του ποντικιού και το scrolling σε πραγματικό χρόνο, ακόμη και πριν καταχωρήσετε οριστικά (submit) εσείς τα στοιχεία. Τα αποκαλούμενα session replay scripts παρέχονται από υπηρεσίες analytics τρίτων και έχουν σχεδιαστεί να βοηθήσουν τους διαχειριστές των ιστοσελίδων, να κατανοήσουν καλύτερα πως οι επισκέπτες αλληλεπιδρούν με τα χαρακτηριστικά αυτών αλλά και να αναγνωρίσουν συγκεκριμένες ιστοσελίδες που προκαλούν σύγχυση. Το κάθε κλικ, scroll καταγράφεται και αργότερα γίνεται κάτι σαν «play back».
Μια έρευνα η οποία δημοσιεύθηκε την προηγούμενη εβδομάδα, ανέφερε ότι 482 ιστοσελίδες που παρουσιάζουν το πιο υψηλό traffic, ενσωματώνουν τέτοιου είδους scripts, συνήθως χωρίς να το αναφέρουν ρητά. Δεν είναι εύκολο να διακρίνεις τέτοιες ιστοσελίδες, ο πραγματικός αριθμός μπορεί να είναι ακόμη μεγαλύτερος. Η συλλογή περιεχομένου των σελίδων από replay scripts τρίτων, μπορεί να παρέχει σε αυτά τα τρίτα μέρη πρόσβαση σε ευαίσθητες πληροφορίες, όπως αριθμοί πιστωτικών καρτών, ιατρικό ιστορικό και άλλα, ανέφερε ο Steven Englehardt, από το Princeton University. Αυτό μπορεί να καταστήσει ευάλωτους τους χρήστες σε κλοπή ταυτότητας, online scams και άλλες μη αποδεκτές συμπεριφορές. Το ίδιο ισχύει και για τη συλλογή των δεδομένων κατά τη διάρκεια του checkout ή της διαδικασίας εγγραφής.
Ο Englehardt εγκατέστησε replay scripts από 6 υπηρεσίες που χρησιμοποιούνται πιο πολύ και ανακάλυψε ότι αποκαλύπτουν προσωπικά δεδομένα σε διαφορετικό βαθμό το καθένα. Κατά τη διάρκεια της δημιουργίας ενός λογαριασμού, τα scripts κατέγραφαν ένα μέρος αυτών που πληκτρολογούνταν σε διάφορα πεδία. Scripts από το FullStory, Hotjar, Yandex και Smartlook ήταν αυτά που κατέγραφαν σχεδόν όλα όσα πληκτρολογούνταν στα πεδία, όπως ονόματα, email διευθύνσεις, αριθμοί τηλεφώνων, αριθμοί κοινωνικής ασφάλισης και ημερομηνίες γέννησης.
Ακόμη και όταν υπηρεσίες λάμβαναν μέτρα για να προστατέψουν κάποια δεδομένα, το έκαναν με τέτοιο τρόπο, ώστε πάλι έθεταν σε κίνδυνο σε κάποιο βαθμό την ασφάλεια των χρηστών. Το UserReplay για παράδειγμα, κατέγραφε τα τέσσερα τελευταία ψηφία της πιστωτικής κάρτας του χρήστη. Ακόμη και ιστοσελίδες που υπόσχονται να μην διαρρέουν ευαίσθητες πληροφορίες και έχουν σχετική νομική διευκρίνηση, αποδεικνύεται ότι το κάνουν. Για παράδειγμα, ένα κατάστημα ρούχων, το Bonobos, διέρρεε τα πλήρη στοιχεία των πιστωτικών καρτών στο FullStory.
Δεν είναι ξεκάθαρο, ποια μέσα έχουν οι χρήστες για να εμποδίσουν αυτή τη συμπεριφορά. Οι ερευνητές ανέφεραν, ότι τα ad-blockers μπορούν να φιλτράρουν μερικά αλλά όχι όλα τα scripts. Επίσης η επιλογή do not track δεν βοηθά. Τι σημαίνει όμως αυτό πρακτικά; Σημαίνει ότι κάθε keystroke που πληκτρολογείται στο πεδίο, χαρακτήρας με χαρακτήρα καταγράφεται, ακόμη και αν ο επισκέπτης το διαγράψει μετά και δεν πατήσει το submit.
0 Post a Comment:
Δημοσίευση σχολίου