Информационная безопасностьНовости

482 сайта из топа Alexa следят за каждым шагом посетителей и перехватывают нажатия клавиш

Если у вас паранойя, это еще не означает, что за вами не следят на самом деле. Истинность этой крылатой фразы в очередной раз подтвердили исследователи Принстонского университета. Специалисты опубликовали доклад, согласно которому сотни сайтов, входящих в число 50 000 самых посещаемых ресурсов по версии Alexa, следят за каждым шагом своих посетителей, а зачастую и вовсе работают как кейлоггеры.

Исследователи обнаружили на 482 сайтах специальные скрипты (session replay scripts), предоставляемые владельцам ресурсов сторонними аналитическими сервисами. Изначально такие инструменты предназначались для улучшения user experience, позволяли компаниям лучше узнать своих пользователей и лучше подстроится под их нужды. Однако такие скрипты в сущности позволяют  повторно воспроизвести всю сессию пользователя, включая каждый его клик, прокрутку и нажатия клавиш. Полный список сайтов, шпионящих за своими пользователями, можно увидеть здесь.

Специалисты отмечают, что использующие такие навязчивые методы слежения сайты, почти никогда не предупреждают об этом своих посетителей. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

«Сбор данных сторонними replay-скриптами может привести к утечке конфиденциальной информации, к примеру, медицинских данных, информации о банковских картах и любых других личных данных, отображающихся на странице, — пишут аналитики. — В результате пользователи могут стать жертвами кражи личности, сетевого скама и других видов мошенничества. То же самое относится к сбору данных, которые пользователи вводят в соответствующие формы во время регистрации или во время чекаута».

Наиболее распространенными и навязчивыми исследователи называют replay-скрипты шести сервисов, среди которых решения компаний FullStory, Hotjar, «Яндекс» и Smartlook. По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Решения Smartlook и UserReplay и вовсе записывают даже пароли, которые посетители вводят в предназначенные для этого поля, а также «протоколируют» последние четыре цифры номеров банковских карт. Видеоролик ниже демонстрирует перехват данных в исполнении скрипта FullStory.

Специалисты признают, что эти сервисы сами по себе нельзя называть незаконными, более того, они предоставляют владельцам сайтов возможность автоматически или вручную настроить свои решения, чтобы сбор данных осуществлялся более корректно и не был столь всеобъемлющим. Но, как правило, на настройку нужно потратить немало сил и времени, к тому же, конфигурирование скриптов требует определенных технических навыков. Плюс, по данным специалистов, панели управления «Яндекс», Hotjar и Smartlook используют HTTP, то есть все данные о сессиях пользователей, исходно защищенных HTTPS, в итоге остаются без шифрования и защиты.

Навязчивую слежку можно обнаружить не только на таких крупных порталах, как microsoft.com, adobe.com или godaddy.com, но и на сайтах, от которых ожидать подобного не приходится. К примеру, walgreens.com уличили в сборе медицинской информации посетителей и даже «записи» данных о рецептах (и последующей передаче этих данных FullStory). Еще один пример, сайт компании Bonobos, которая «сливала» полные номера банковских карт посетителей, тоже в пользу FullStory.

По данным изданий  Motherboard и Wired, после публикации доклада специалистов обе компании уже отказались от использования решений FullStory. Представители «Яндекс», Hotjar и Smartlook, то есть компаний уличенных в использовании HTTP, так же заверили журналистов, что уже решают данную проблему, и в самом скором времени сервисы должны перейти на использование HTTPS.