vpn felvételi szkriptek


Számos VPN megígéri védeni az Ön személyes adatait és biztonságát - de mi lenne, ha weboldalai rögzítsék minden lépését, és az adatokat harmadik fél szervereire továbbítják?

A közelmúltban hír történt, hogy a világ legnépszerűbb webhelyei rögzítik:

  • minden gombnyomás;
  • egér mozgatása;
  • görgető viselkedés;
  • bármilyen tartalmat, amelyet űrlapokba ír be (hitelkártyák, jelszavak, címek stb.), akkor is, ha az űrlapot nem nyújtották be;
  • és maga az oldal tartalma, ezt az információt automatikusan továbbítva a harmadik fél szerverei.

Alapvetően ezek a nyomkövetési szkriptek úgy viselkednek, mint a térfigyelő kamera - szó szerint rögzíti minden mozdulatát ahogy böngészi a weboldalt.

Mielőtt felfednénk a VPN-sértőket, nézzük ezt perspektívaba.

Sok webhely a Google Analytics-et vagy más nyomkövető szoftvert használ, amely elősegíti a webhely tartalmának optimalizálását. Ez általános gyakorlat, jóllehet nem ideális. Amikor azonban Princeton kutatói egy csoport megvizsgálta ezeket munkamenet rögzítő szkriptek, feltárták a követés és a vállalati felügyelet egy teljesen új szintjét.

A kódhoz hozzáadott néhány „session replay” szkripttel a weboldalak könnyen rögzíthetik minden lépését. Itt van egy munkamenet-válasz szkript (FullStory) működésben:

A munkamenet rögzítése működésben.

Most vizsgáljuk meg az ebből adódó problémákat ...

Mi lehet baj?

Ez nyilvánvalóan magánélet és biztonság kockázatát hordozza a végfelhasználó számára, aki tudattalanul továbbítja a személyes adatokat - potenciálisan érzékeny adatokat - harmadik fél szervereire..

A kutatási jelentés a következő kockázatokat foglalta össze:

Az oldaltartalom harmadik fél által végzett visszajátszási szkriptek általi összegyűjtése miatt a felvétel részeként olyan érzékeny információk, mint például az egészségügyi állapot, a hitelkártya-adatok és az oldalon megjelenített egyéb személyes információk kiszivároghatnak a harmadik fél számára. Ez a felhasználókat személyazonosság-lopásnak, online csalásoknak és más nem kívánt magatartásnak teheti ki. Ugyanez vonatkozik a felhasználói adatok begyűjtésére a fizetési és regisztrációs folyamatok során.

Ezenkívül ezek a vállalatok, mint például a FullStory, a webhelytulajdonosoknak lehetővé teszik, hogy „összekapcsolják az összegyűjtött felvételeket a felhasználói valódi identitás.”

Az adatvédelem elveszett.

Ha a magán adatai harmadik fél szerverein ülnek, ez tovább teremt hosszú távú problémák, amint azt a jelentés tárgyalja:

Végül, a tanulmány szerzői attól tartanak, hogy a session script társaságok érzékenyek lehetnek a célzott hackekre, különösen azért, mert valószínűleg nagy értékű célok. Például ezeknek a vállalatoknak sok van műszerfallal, ahol az ügyfelek lejátsszák a gyűjtött felvételeket. A Yandex, a Hotjar és a Smartlook irányítópultjai azonban nem titkosított HTTP oldalakat futtatnak, hanem sokkal biztonságosabb, titkosított HTTPS oldalakat..

Fontos megjegyezni, hogy ezeknek a vállalatoknak néhány része szerkesztési eszközöket is biztosít. Elméletileg ezek az eszközök kizárnák az érzékeny adatok rögzítését és tárolását harmadik fél szerverein. A kutatók azonban úgy találták, hogy gyakran nem ez a helyzet.

Amint azt a jelentés tárgyalja:

A jelszavak gyakran véletlenül szerepelnek a felvételekben, annak ellenére, hogy a szkriptek úgy vannak kiképezve, hogy kizárják őket. A kutatók megállapították, hogy más személyes információkat szintén gyakran nem szerkesztettek, vagy csak részlegesen, legalábbis a szkriptek néhány részével megtisztítottak.

Riasztás oka - Tehát nemcsak az összes mozdulatát rögzítő nyomkövető szkriptek, hanem az érzékeny adatokat védő szerkesztési eszközök nem mindig működnek megfelelően.

Szeretné, ha az adatait törölnék ezekről a külső szerverektől?

Sok szerencsét.

Nincs kijelentkezés - de blokkolhatja ezeket a szkripteket, amelyeket az alábbiakban tárgyalunk.

A bűnösök

A kutatók itt adták ki az adatokat, amelyek mintegy 97 000 webhelyet tartalmaznak, amelyek „beágyaznak szkripteket olyan elemző szolgáltatókból, amelyek munkamenet-felvételi szolgáltatásokat kínálnak”. Mindössze hét legnépszerűbb munkamenet-felvételi szkriptet vizsgáltak meg. Ezért a tanulmány semmiképpen sem kimerítő, különösen ha az online nyomkövetés terén elért széles körű terjeszkedést vesszük figyelembe.

Annak megtekintéséhez, hogy mely VPN webhelyek szerepeltek az adatkészletben, itt töltheti le a ZIP-fájlt.

Amikor megvizsgálja a CSV fájlt, megtalálja a következő VPN-szolgáltatókat és a munkamenet-felvételi szkripteket, amelyeket a webhelyükön találtak.

Megjegyzés: mivel a jelentést ebben a hónapban korábban tették közzé, a legtöbb VPN eltávolította a munkamenet rögzítő szkripteit webhelyéről. Néhány szolgáltatónál azonban a szkriptek továbbra is használatban vannak:

Weboldal

Munkamenet felvevő

Még mindig használatban van?

astrill.com
hotjar
Igen

cyberghostvpn.com
hotjar
Nem

hidemyass.com
hotjar
Nem

ipvanish.com
hotjar
Nem

nordvpn.com
hotjar
Nem

purevpn.com
hotjar
Igen

safervpn.com
inspectlet
Igen

strongvpn.com
hotjar
Nem

zenmate.com
hotjar
Nem

A VPN-szolgáltatások ígéretet tesznek a felhasználók magánéletének védelmére, ugyanakkor szekció-felvételi szkriptek felhasználásával, ami sérti ezt az adatvédelmet.

Harmadik féltől származó adatok megosztása - Itt egy másik nyilvánvaló ellentmondás az, hogy ezek közül a VPN-k közül sokan azt állítják, hogy nem osztják meg az adatokat harmadik felekkel. Alapértelmezés szerint ezeket a szkripteket úgy tervezték, hogy mindent rögzítsenek, és az adatokat harmadik fél szervereire továbbítsák.

Ezért lehet a munkamenet-felvételi szkriptek használata megsérti a VPN adatvédelmi irányelveit.

Nincs figyelmeztetés - Ez azért is problematikus, mert a felhasználóknak gyakran meg kell férniük a VPN webhelyéhez és a tagok területéhez, például szoftver letöltéskor, támogatás igénybevételekor vagy előfizetés megújításakor. Sajnos nem tűnik úgy, hogy ezek a webhelyek valamilyen figyelmeztetést adnak, például:

„FIGYELMEZTETÉS - Minden, amit csinál, rögzítésre kerül, és harmadik fél szervereire küldi el. Nincs lehetőség a kilépésre. ”

Védd magad

A követés és az adatgyűjtés egy nagyon nagy és növekvő üzlet. Tekintettel arra, hogy több ezer webhely tárolja ezeket a szkripteket, és nincs hatékony módja a lemondásnak, az egyetlen megoldás a blokkolás.

Az eredeti cikk ezt állította Adblock Plus blokkolja a vizsgálatban azonosított összes munkamenet-felvételi szkriptet. Egy másik böngésző-kiegészítő, amely hatékonyan blokkolja a szkriptek futását NoScript. És végül, uBlock Origin szintén működnie kell.

Egy másik megoldás egy VPN hirdetés-blokkoló használata, amely ezeket a szkripteket és tartományokat a VPN-kiszolgáló szintjén szűri. Teszteltem a  szolgáltatás a  és úgy találta, hogy hatékonyan blokkolja a fent említett „hotjar” és „inspectlet” szkripteket.

Frissítve 2017. december 4 - A SaferVPN eltávolította az „inspectlet” szkriptet a saját webhelyükről.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me