Технологии

Веб-аналитику уличили в воровстве персональных данных

23 ноября 2017 0

аналитика, безопасность, интернет

 

Для сбора статистики и показа релевантной рекламы многие сайты используют специальные программы веб-аналитики активности пользователя. Группа исследователей из Принстонского университета США изучила принципы работы популярных инструментов аналитики и выяснила, что в большинстве случаев программы собирают и записывают конфиденциальную информацию пользователя, которая вводится в веб-формы (к примеру, логины и пароли). В отдельных случаях они могут передавать данные о просмотрах пользователей и через незашифрованный протокол HTTP, т.е. их может узнать практически любой посторонний. Оказалось, что такие системы стоят примерно на каждом сотом из 5000 популярных сайтов. Подробный отчет об исследовании можно почитать на сайте Freedom to Tinker.

Как такое допустили?

Изначально сервисы веб-аналитики создавались для обезличенного сбора данных о посещаемости тех или иных сайтов: сколько времени пользователь провел на сайте, какие темы его больше интересуют и т.д. Но некоторые инструменты начали «ловить» и личную информацию: например, следить за всеми действиями пользователя на сайте или «перехватывать» пароли. Для того чтобы проанализировать «честность» таких сервисов, специалисты по компьютерной безопасности под руководством исследователя из Принстонского университета Арвинда Нараянана взяли 7 популярных систем веб-аналитики: Яндекс, FullStory, Hotjar, UserReplay, Smartlook, Clicktale и SessionCam и проверили их наличие на 5000 самых популярных сайтов по версии портала Alexa.

Оказалось, что эти системы сбора данных имеются на 482 сайтах и могут обезличивать данные пользователей: например, часть дает доступ владельцам сайта к ФИО, личному адресу посетителя сайта и другую личную информацию, а именно — система может знать, какие именно лекарства вы заказывали в той или иной интернет-аптеке. В вопросе сохранения паролей ситуация получилась двоякая — некоторые сайты заменяют вводимый в поля текст случайным набором, который совпадает с изначальным только по количеству символов. Но это работает только в том случае, если веб-форма имеет специальную отметку. Остальные же могут передать сервису аналитики и владельцу сайта всю вводимую информацию, даже пароли от банковских карт. В отдельных случаях вводимая информация сохранялась и в том случае, если пользователь вводил информацию и, не сохраняя, стирал ее.

Кроме этого, исследователи обратили внимание на то, что часть систем веб-аналитики передает все полученные данные через протокол HTTP, а не через HTTPS, который поддерживает шифрование. Из-за этого вся собранная информация может попасть в руки не только владельцев сайтов и в системы веб-аналитики, но и мошенникам. Причем для этого им не требуется особого труда, ведь информация поступает практически в открытом виде, достаточно использования атаки посредника.

Как защитить себя от кражи личных данных?

Результаты исследования уже успели вызвать огромный ажиотаж в IT-пространстве: часть компаний заявила, что прекращает использование сервиса FullStory, который достаточно часто фигурирует в отчете. Официальные представители Яндекса сказали, что пока они вынуждены использовать протокол HTTP для воспроизведения протокола сеансов, но в ближайшее время система Метрики обновится и будет работать целиком на HTTPS. Рядовому пользователю пока только остается осторожно использовать свои личные данные. Если есть возможность не вводить их — то лучше этого и не делать.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Рассказать друзьям

0 Комментариев

Подписаться на рассылку

Комментарии

Войти с помощью 

Присоединяйтесь к нам в социальных сетях

В наших группах вы можете узнать много нового и интересного, а так же - принять участие в опросах и конкурсах

Присоединиться
Присоединиться