Većina ljudi koji provode vreme na internetu imaju određenu predstavu da mnogi sajtovi beleže njihove posete i vode evidenciju koje stranice su posetili. Na primer, kada tražiš cipele na sajtu neke prodavnice, on beleži da si zainteresovan za njih. Sledećeg dana vidiš reklamu za iste te cipele na Instagramu, ili na nekoj drugoj društvenoj mreži.
Ideja da sajtovi prate korisnike nije nova, ali istraživanje Univerziteta Prinston koje je objavljeno prošle nedelje ukazuje na to da je onlajn praćenje mnogo invazivnije nego što većina korisnika shvata. U prvom delu serijala nazvanog „Nema granica“, tri istraživača Prinstonovog Centra za politiku informativne tehnologije (CITP) objašnjavaju kako nezavisni skriptovi sa mnogih od najpopularnijih sajtova na svetu prate svaki klik, a onda tu informaciju šalju nezavisnom serveru.
Neki sajtovi sa velikim prometom imaju softver koji beleži svaki vaš klik i svaku reč koju otkucate. Ako odete na sajt, počnete da popunjavate neki formular, a onda odustanete, svaka reč koju ste otkucali ipak ostaje zabeležena, prema otkrićima istraživača. Ako slučajno u formular prekopirate nešto, to se takođe beleži. Korisnici Fejsbuka su 2013. godine pobeseneli, kada je otkriveno da ova društvena mreža čini nešto slično sa novim statusima – beleži ono što su korisnici otkucali, čak iako to na kraju nikada nisu postavili.
Ovi skriptovi, ili delovi šifre sajtova, takođe se nazivaju „skriptovi za ponavljanje sesije“. Njih koriste kompanije da bi stekle uvid u to kako njihove mušterije koriste njihove sajtove, i da bi idenitifikovale stranice koje zbunjuju. Ali skriptovi ne samo da skupljaju generalne statističke podatke, oni beleže i u stanju su da ponove individualnu sesiju pretrage. Ovih skriptova nema na svakoj stranici, ali često su na stranicama gde korisnici daju osetljive informacije, kao što su lozinke ili zdravstveno stanje.
Korisniku je teško da razume šta se događa, „osim ako ne krene duboko da kopa po politici privatnosti“, kaže mi preko telefona Stiv Inglhard, jedan od istraživača koji stoji iza ove studije. „Srećan sam što će korisnici postati svesni toga“.
U videu ispod možete videti šta skript za ponavljanje sesije kompanije FullStory može da zabeleži:
Ono što najviše zabrinjava je to se ne može očekivati da će informacije koje prikupljaju skriptovi za ponavljanje sesije „ostati anonimne“, prema rečima istraživača. Neke od kompanija koje obezbeđuju ovaj softver, kao što je FullStory, prave skriptove za praćenje koji vlasnicima sajtova omogućuju čak i da povežu prikupljene podatke sa stvarnim identitetom korisnika. Kompanije na kraj mogu da vide da li je korisnik povezan sa određenom imejl adresom ili imenom. FullStory nije odgovorio na naše zahteve za komentar.
Da bi sproveli svoju studiju, Inglhard, Gans Akar i Arvind Narajanan su proučavali sedam najpopularnijih kompanija za ponavljanje sesija, uključujući FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar, i najpopularniji ruski pretraživač Yandex. Postavili su test stranice i na njih instalirali skriptove za ponavljanje sesija šest od sedam ovih kompanija. Otkrića ukazuju na to da skriptove barem jedne od ovih kompanija koristi 482 od 50 hiljada najpopularnijih sajtova, po Aleksa listi.
Istaknute kompanije koje koriste ove skriptove uključuju prodavnice muške odeće Bonobos.com, Walgreens.com, i firmu za finansijske investicije Fidelity.com. Takođe vredi primetiti da ih možda ima mnogo više od 482. Skriptovi najverovatnije ne beleže svakog korisnika koji poseti sajt, kažu mi istraživači. Kada su oni vršili testiranja, verovatno nisu detektovali neke skriptove, zato što se nisu aktivirali.
Otkako su istraživači sa Prinstona objavili rezultate svojih istraživanja, i Bonobos i Volgrins su rekli da će prestati da koriste skriptove za ponavljanje sesija. „Mi veoma ozbiljno shvatamo zaštitu podataka naših mušterija, i istražujemo tvrdnje iznešene u studiji objavljenoj juče. Dok ispitujemo situaciju koja je izazvala zabrinutost, i zbog mera opreza, prestali smo da delimo podatke sa FullStory“, u mejlu mi je prošlog četvrtka napisao portparol za štampu Volgrinsa.
Bonobos nije odgovorio na zahtev za komentar, ali iz te kompanije su za Wired izjavili da su „eliminisali deljenje sa FullStory da bismo procenili protokole i operacije koje se tiču njihovih usluga. Mi stalno ispitujemo i jačamo sisteme i procese, zarad zaštite podataka svojih mušterija“.
U Fidelitiju nisu rekli da će prestati da koriste skriptove za ponavljanje sesija. „Mi ne komentarišemo odnose sa svojim saradnicima, ali jedan od naših najviših prioriteta je zaštita informacija o mušterijama“, rekao je predstavnik za štampu u izjavi.
Kompanije koje prodaju skriptove za ponavljanje ipak nude brojne opcije koje sajtovima mogu da omoguće da iz svojih zabeleški isključuju osetljiv sadržaj, a neke čak i eksplicitno zabranjuju prikupljanje podataka korisnika. Ipak, to što toliko mnogo najpopularnijih sajtova na svetu koristi skriptove za ponavljanje sesija ima ozbiljne implikacije po pitanju privatnosti.
„Prikupljanje sadržaja sa stranica od strane nezavisnih skriptova za ponavljanje mogu da dovedu do toga da osetljive informacije, kao što je zdravstveno stanje, detalji kreditnih kartica i druge lične informacije postavljene na stranici procure do trećih lica, u procesu beleženja“, pišu istraživači u svojoj objavi.
Lozinke često slučajno završavaju u beleškama, uprkos tome što su skriptovi napravljeni tako da ih isključuju. Istraživači su otkrili da i druge lične informacije često ne budu uklonjene, ili bivaju uklonjene samo delimično. Dve od ove kompanije, UserReplay i SessionCam, po difoltu blokiraju sve unose korisnika (samo prate na šta korisnici kliknu), što je daleko najbezbedniji pristup.
Međutim, nije bitno samo ono što korisnici unose. Kada se uloguješ na neki sajt, ono što se vidi na ekranu takođe može da bude osetljivo. Istraživači su otkrili da „nijedna kompanija ne obezbeđuje automatsko uklanjanje vidljivog sadržaja po difoltu; sav prikazani sadržaj na kraju procuri“.
Na primer, istraživači su testirali Walgreens.com, koji je koristio skriptove kompanije FullStory. Uprkos činjenici da Walgreens koristi brojne opcije za redukovanje koje FullStory nudi, otkrili su da informacije kao što su zdravstveno stanje i recepti skript za ponavljanje sesije prikuplja, zajedno sa pravim imenima korisnika.
I konačno, autori studije su zabrinuti da bi kompanije koje proizvode skriptove za sesije mogle da budu laka meta za hakere, naročito zbog toga što su verovatno mete koje su veoma na ceni. Na primer, mnoge od ovih kompanija imaju dešbord na kojima klijenti mogu da puste snimke koje su prikupili. Ali Yandex, Hotjar i Smartlook koriste dešbordove sa nešifrovanim HTTP stranicama, umesto mnogo sigurnije, šifrovane HTTPS stranice.
Even if you're visiting an HTTPS site, your data might be sent over the network in the clear! Not a failure of HTTPS — it's because the 3rd party doesn't enable HTTPS when the publisher logs in to replay your session. pic.twitter.com/ZlL1ireviO
— Arvind Narayanan (@random_walker) November 15, 2017
„To omogućuje nekom aktivnom posredniku da ubaci skript na stranicu za plejbek i izvuče sve zabeležene podatake“, pišu autori studije.
U izjavi napisanoj u mejlu, portparola Yandex-a mi je rekao da se kompanija trudi da koristi HTTPS kada god može, i da će uskoro apdejtovati svoj proizvod, i više neće koristiti HTTP. „HTTP se koristi zato što je, na nesreću, učitavanje http sadržaja sa https sajtova zabranjeno na nivou pretraživača, pa je http plejer neophodan za podršku http sajtovima za ovu stavku“, piše u izjavi.
HotJar i UserReplay u trenutku objavljivanja ovog članka nisu dali izjavu. Clicktale i Smartlook nisu odgovorili. Direktor SessionCam Kevin Gudings je u postu na blogu napisao da „Svi u SessionCam mogu da stanu iza zaključka CITP: ’Unapređenje iskustva korisnika je zadatak od kritičnog značaja za izdavače. Međutim, ne sme da bude nauštrb privatnosti korisnika. Čitav tim SessionCam-a svakodnevno živi po ovim vrednostima. Privatnost posetilaca vašeg sajta i sigurnost vaših podataka su za nas od najvišeg značaja’“.
Nisu samo skriptovi sesija ono što vas prati po internetu. U studiji objavljenoj ranije ove godine otkriveno je da skoro polovina od 1000 najpopularnijih sajtova na svetu koriste isti softver za praćenje, da bi na različite načine pratili vaše ponašanje.
Ako želite da blokirate skriptove za ponavljanje sesija, popularno sredstvo za blokiranje oglasa AdBLock Plus će vas sada štiti od onih zabeleženih u Prinstonovoj studiji. AdBlock je ranije štitio samo od nekih, ali sada je apdejtovan da blokira sve, kao rezultat rada ovih istraživača.
(izvor: vice.com)
