27, Ноябрь 2017

Крупнейшие сайты следят за пользователями через инструменты «Яндекса»

Список сайтов

Проект No Boundaries вывесил список сайтов, которые детально фиксируют поведение своих посетителей — вплоть до того, какие клавиши на клавиатуре нажимает пользователь, какие движения мышкой он совершает и как использует прокрутку страницы. No Boundaries заявляет, что подобную слежку за пользователями осуществляют многие популярные сайты, как российские, так и зарубежные, в том числе yandex.ru, hp.com, comcast.net, istockphoto.com, intel.com, lenovo.com, autodesk.com, windows.com, t-mobile.com, mts.ru, kaspersky.com, redhat.com, logitech.com, adidas.com, hpe.com, symantec.com, nintendo.com, alfabank.ru, bitrix24.ru и др.

Во всех перечисленных случаях ботам, которые использует No Boundaries в своих исследованиях, удалось застать сайты прямо в процессе записи пользовательского сеанса. Проект возглавляет исследователь безопасности Стивен Энглехардт (Steven Englehardt) из Принстонского университета. Данные выкладываются на ресурсе Freedom To Tinker.

Скрипт, который позволяет отследить поведение пользователя в таких подробностях, получил название «воспроизведение сессии». Его возможности значительно превосходят функциональность обычного аналитического скрипта, который определяет, какие страницы посещает пользователь и какие поисковые запросы вводит. «Воспроизведение сессии» включено в аналитические сервисы, которыми пользуется в общей сложности 1239 сайтов из первых 10 тыс. рейтинга Alexa.

Инструменты для «воспроизведения сессии» аккумулируют данные пользователей

В этом списке присутствуют microsoft.com, telegraph.co.uk, ibm.com, asus.com, adme.ru, photobucket.com, rutube.ru, ozon.ru, azure.com, ford.com, svyaznoy.ru, blackberry.com, epson.com, rabota.ru, toyota.com, avon.com и другие, однако участникам No Boundaries не удалось выяснить, используют ли они имеющееся в их распоряжении «воспроизведение сессии».

Провайдеры услуги

В ходе своего исследования No Boundaries проанализировал семь самых популярных провайдеров инструментов для «воспроизведения сессии». В список вошли Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale и SessionCam. Инструменты этих компаний используются на 482 сайтах из первых 50 тыс. топа Alexa.

Больше всего в No Boundaries обеспокоены тем, что перечисленные инструменты запоминают, какие клавиши были нажаты пользователем при вводе данных в различные формы, даже если после этого пользователь не подтвердил эту форму. Исключение делается только для паролей, они не подлежат фиксации. Однако это правило не распространяется на мобильные интерфейсы для запроса логина и пароля, если эти интерфейсы не внести в список исключений вручную. В ходе исследования все же были обнаружены сайты, где пароль вводится при регистрации и передается в SessionCam, даже если пользователь его не подтвердил.

С конфиденциальными данными, которые пользователь вводит, например, при совершении покупок по интернету, провайдеры поступают по разному. UserReplay и SessionCam заменяют все внесенные пользователем данные другим текстом эквивалентной длины. FullStory, Hotjar и Smartlook сортируют данные по типу и не запоминают номера и другие параметры кредитных карт. Yandex и Hotjar запоминают данные кредитных карт, включая срок действия и код на обратной стороне, список исключений у этих инструментов ограничивается только паролями.

Автоматическое редактирование

У провайдера есть свои автоматические настройки редактирование введенных данных — то есть замены их эквивалентным текстом или просто исключения. Обычно автоматическое редактирование происходит по типу входного элемента или эвристически. Это может не соответствовать той реализации, которую применяет сайт. Например, FullStory не запоминает номер кредитной карты только при наличии элемента autocomplete, установленного на поле, а без него — запоминает.

Smartlook, Yandex, FullStory, SessionCam и Hotjar в дополнение к автоматическому редактированию разрешают сайтам дополнительно указать данные, которые не нужно фиксировать. Но чтобы эта система действовала эффективно, сайту нужно постоянно просматривать все введенные данные, проверяя насколько они конфиденциальны, поясняет No Boundaries. Это дорогостоящий и долгий процесс, где легко допустить ошибку. Например, сайт walgreens.com, который пользуется инструментами FullStory, активно редактирует введенные данные, и тем не менее медицинская информация о пользователях всё равно попадает в FullStory.

Альтернатива этому — автоматически маскировать все поля эквивалентным текстом, но и этот метод нельзя назвать совершенным, поскольку он выдает, из скольких символов состоит пароль.

Защита данных

Данные, которые в итоге стекаются на сервера провайдеров «воспроизведения сессии», недостаточно защищены от хакерских атак, утверждает No Boundaries. В пример участники проекта приводят такую услугу: после того, как пользователь завершил сеанс, администратор сайта может просмотреть ход этого сеанса на панели инструментов. Yandex, Hotjar и Smartlook показывают запись сеанса на HTTP-странице, даже если записывался он на HTTPS. Хакер, занявший позицию «человек посередине», может сделать инъекцию вредоносного кода в HTTP-страницу и перехватить все воспроизведенные данные. Yandex и Hotjar используют HTTP для предоставления сайту и другой информации.

Как выяснили в No Boundaries, такие инструменты защиты от слежки в интернете как EasyList и EasyPrivacy не блокируют скрипты FullStory, Smartlook и UserReplay. Однако правила фильтрации EasyPrivacy способны заблокировать Yandex, Hotjar, ClickTale и SessionCam.

Примерно пятая часть провайдеров «воспроизведения сессии» дает сайтам возможность отключить сбор данных для пользователей, которые выставили опцию «Не отслеживать» в браузере. Однако, по данным No Boundaries, ни один сайт из первого миллиона в рейтинге Alexa не воспользовался предложением.

Источник