skrip rakaman vpn


Kebanyakan VPN berjanji untuk melindungi privasi dan keselamatan anda - tetapi bagaimana jika laman web mereka merekodkan setiap langkah anda dan menghantar data ke pelayan pihak ketiga?

Berita baru-baru ini memecahkan bahawa beberapa laman web yang paling popular di dunia sedang merakam:

  • semua ketukan kekunci anda;
  • pergerakan tetikus;
  • tingkah laku menatal;
  • apa-apa kandungan yang anda taip ke dalam bentuk (kad kredit, kata laluan, alamat, dll.), walaupun borang itu tidak dihantar;
  • dan kandungan halaman itu sendiri, dengan maklumat ini secara automatik dihantar kepada pelayan pihak ketiga.

Pada dasarnya, skrip penjejakan ini bertindak seperti a kamera pengawasan - secara harfiah rakaman setiap langkah yang anda buat semasa anda melayari laman web.

Sebelum kita mendedahkan pesalah VPN, mari kita letakkan perspektif ini.

Banyak laman web menggunakan Google Analytics, atau perisian penjejakan yang lain, yang membantu mengoptimumkan kandungan laman web tersebut. Ini adalah amalan biasa, walaupun ia tidak sesuai. Walau bagaimanapun, apabila pasukan penyelidik dari Princeton memeriksa ini skrip rakaman sesi, mereka mendedahkan satu tahap baru pengesanan dan pengawasan korporat.

Dengan hanya beberapa skrip "ulangan sesi" yang ditambahkan pada kod, laman web dengan mudah boleh merakam setiap langkah anda. Berikut adalah skrip balasan sesi (FullStory) dalam tindakan:

Rakaman sesi dalam tindakan.

Sekarang mari kita periksa masalah yang timbul ...

Apa yang mungkin berlaku?

Ini jelas menimbulkan risiko privasi dan keselamatan untuk pengguna akhir, yang tidak menyalurkannya menyampaikan data peribadi - data berpotensi sensitif - kepada pelayan pihak ketiga.

Laporan penyelidikan merangkum risiko berikut:

Pengumpulan kandungan halaman oleh skrip tayangan replika pihak ketiga boleh menyebabkan maklumat sensitif seperti keadaan perubatan, butiran kad kredit dan maklumat peribadi lain yang dipaparkan pada halaman untuk membocorkan kepada pihak ketiga sebagai sebahagian daripada rakaman. Ini boleh mendedahkan pengguna kepada kecurian identiti, penipuan dalam talian, dan kelakuan yang tidak diingini yang lain. Begitu juga dengan pengumpulan input pengguna semasa proses checkout dan pendaftaran.

Selain itu, syarikat-syarikat ini, seperti FullStory, juga membenarkan pemilik laman web untuk "menghubungkan rakaman yang mereka kumpulkan kepada pengguna identiti sebenar."

Privasi hilang.

Dengan data peribadi anda yang duduk di pelayan pihak ketiga, ini teruskan masalah jangka panjang, seperti yang dibincangkan dalam laporan itu:

Akhirnya, penulis kajian bimbang bahawa syarikat skrip sesi boleh terdedah kepada hacks yang disasarkan, terutama kerana mereka mungkin sasaran bernilai tinggi. Contohnya, kebanyakan syarikat ini mempunyai papan pemuka di mana pelanggan dapat memainkan rakaman yang mereka kumpulkan. Tetapi papan pemuka Yandex, Hotjar, dan Smartlook menjalankan halaman HTTP yang tidak disulitkan, bukannya halaman HTTPS yang lebih selamat dan terenkripsi.

Ia juga penting untuk diperhatikan bahawa sesetengah syarikat ini menyediakan alat redaksi. Secara teori, alat-alat ini akan mengecualikan data sensitif daripada dicatat dan disimpan pada pelayan pihak ketiga. Walau bagaimanapun, penyelidik mendapati bahawa ini selalunya tidak berlaku.

Seperti yang dibincangkan dalam laporan itu:

Sandi sering tidak sengaja disertakan dalam rakaman, walaupun skrip direka untuk mengecualikannya. Para penyelidik mendapati bahawa maklumat peribadi lain juga sering tidak diturunkan, atau hanya dikurangkan sebahagian, sekurang-kurangnya dengan beberapa skrip.

Punca penggera - Jadi bukan sahaja skrip menjejaki rakaman setiap langkah anda, alat redaksi yang sepatutnya melindungi data sensitif tidak selalu berfungsi dengan baik.

Adakah anda mahu data anda dipadamkan dari pelayan pihak ketiga ini?

Semoga berjaya.

Tidak ada pilihan keluar - tetapi anda boleh menyekat skrip ini, yang akan kami tutup lebih lanjut di bawah.

Penyebabnya

Para penyelidik telah mengeluarkan data di sini, yang merangkumi lebih kurang 97,000 laman web yang "menanamkan skrip daripada penyedia analisis yang menawarkan perkhidmatan rakaman sesi". Mereka hanya memeriksa tujuh skrip rakaman sesi yang paling popular. Oleh itu, kajian ini tidak lengkap, terutamanya apabila mempertimbangkan pengembangan luas dalam bidang pengesanan dalam talian.

Untuk melihat tapak web VPN yang dimasukkan dalam set data, anda boleh memuat turun fail CSV zip di sini.

Apabila anda memeriksa fail CSV, anda akan mendapati penyedia VPN berikut dan skrip rakaman sesi yang terdapat di laman web mereka.

Nota: sejak laporan itu pertama kali diterbitkan awal bulan ini, kebanyakan VPN telah mengeluarkan skrip rakaman sesi dari laman web mereka. Bagaimanapun, dengan beberapa pembekal, skrip masih digunakan:

Laman web

Perakam sesi

Masih digunakan?

astrill.com
hotjar
Ya

cyberghostvpn.com
hotjar
Tidak

hidemyass.com
hotjar
Tidak

ipvanish.com
hotjar
Tidak

nordvpn.com
hotjar
Tidak

purevpn.com
hotjar
Ya

safervpn.com
pemeriksaan
Ya

strongvpn.com
hotjar
Tidak

zenmate.com
hotjar
Tidak

Perkhidmatan VPN menjanjikan untuk melindungi privasi pengguna, sementara pada masa yang sama menggunakan skrip rakaman sesi, yang melanggar privasi itu.

Perkongsian data pihak ketiga - Satu lagi kontradiksi yang jelas di sini ialah banyak VPN ini juga mendakwa tidak berkongsi data dengan pihak ketiga. Walau bagaimanapun, secara lalai skrip ini direka untuk merakam segala-galanya dan menghantar data ke pelayan pihak ketiga.

Oleh itu penggunaan skrip rakaman sesi mungkin melanggar dasar privasi VPN.

Tiada Amaran - Ini juga bermasalah kerana pengguna sering perlu mengakses tapak web dan kawasan anggota VPN, seperti ketika memuat turun perisian, mendapat sokongan, atau memperbaharui langganan. Malangnya, laman web ini tidak menunjukkan sebarang amaran, seperti:

"AMARAN - Semua yang anda lakukan sedang direkodkan dan dihantar kepada pelayan pihak ketiga. Tidak ada cara untuk menarik diri. "

Lindungi diri anda

Penjejakan dan pengumpulan data adalah perniagaan yang sangat besar dan berkembang. Memandangkan terdapat ribuan laman web yang menganjurkan skrip ini, dan tiada cara yang berkesan untuk menarik diri, satu-satunya penyelesaian yang tinggal adalah untuk menghalangnya.

Artikel asal mendakwa bahawa Adblock Plus akan menyekat semua skrip rekod sesi yang dikenal pasti dalam kajian ini. Tambahan penyemak imbas yang berkesan menghalang skrip ini daripada berjalan adalah NoScript. Dan akhirnya, uBlock Origin harus bekerja juga.

Penyelesaian lain ialah menggunakan penyekat iklan VPN yang menapis skrip dan domain ini pada tahap pelayan VPN. Saya telah menguji  ciri dari  dan mendapati ia berkesan menghalang skrip "hotjar" dan "inspectlet" yang disebut di atas.

Kemas kini 4 Disember 2017 - SaferVPN telah mengeluarkan skrip "inspectlet" dari laman web mereka.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me