scripts de gravação de VPN


Muitas VPNs prometem proteger sua privacidade e segurança - mas e se seus sites estivessem gravando todos os seus movimentos e enviando os dados para servidores de terceiros?

Recentemente, surgiram notícias de que alguns dos sites mais populares do mundo estão gravando:

  • todas as suas teclas;
  • movimentos do mouse;
  • comportamento de rolagem;
  • qualquer conteúdo digitado em formulários (cartões de crédito, senhas, endereços etc.), mesmo que o formulário não seja enviado;
  • eo conteúdo da própria página, com essas informações sendo transmitidas automaticamente para servidores de terceiros.

Essencialmente, esses scripts de rastreamento estão agindo como um câmera de segurança - literalmente gravando cada movimento que você faz enquanto você navega no site.

Antes de divulgarmos os criminosos da VPN, vamos colocar isso em perspectiva.

Muitos sites usam o Google Analytics ou outro software de rastreamento, o que ajuda a otimizar o conteúdo do site. Essa é uma prática padrão, mesmo que não seja ideal. No entanto, quando uma equipe de pesquisadores de Princeton examinou esses scripts de gravação de sessão, eles descobriram um novo nível de rastreamento e vigilância corporativa.

Com apenas alguns scripts de "reprodução de sessão" adicionados ao código, os sites podem gravar facilmente todos os seus movimentos. Aqui está um script de resposta da sessão (FullStory) em ação:

Gravação de sessão em ação.

Agora vamos examinar os problemas que isso cria ...

O que poderia dar errado?

Obviamente, isso cria riscos de privacidade e segurança para o usuário final, que inadvertidamente está transmitindo dados pessoais - dados potencialmente confidenciais - para servidores de terceiros.

O relatório da pesquisa resumiu os seguintes riscos:

A coleta do conteúdo da página por scripts de reprodução de terceiros pode fazer com que informações confidenciais, como condições médicas, detalhes do cartão de crédito e outras informações pessoais exibidas em uma página, vazem para terceiros como parte da gravação. Isso pode expor os usuários a roubo de identidade, golpes on-line e outros comportamentos indesejados. O mesmo vale para a coleta de entradas do usuário durante os processos de checkout e registro.

Além disso, essas empresas, como a FullStory, também permitem que os proprietários de sites "vinculem as gravações que coletam às de um usuário". identidade real."

Privacidade perdida.

Com seus dados privados em servidores de terceiros, isso cria ainda mais problemas de longo prazo, conforme discutido no relatório:

Por fim, os autores do estudo estão preocupados com o fato de as empresas de scripts de sessão estarem vulneráveis ​​a hacks direcionados, principalmente porque são alvos de alto valor. Por exemplo, muitas dessas empresas têm painéis nos quais os clientes podem reproduzir as gravações que coletam. Mas os painéis do Yandex, Hotjar e Smartlook executam páginas HTTP não criptografadas, em vez de páginas HTTPS criptografadas muito mais seguras.

Também é importante observar que algumas dessas empresas fornecem ferramentas de edição. Em teoria, essas ferramentas excluiriam dados confidenciais da gravação e armazenamento em servidores de terceiros. No entanto, os pesquisadores descobriram que esse não costuma ser o caso.

Conforme discutido no relatório:

As senhas geralmente são incluídas acidentalmente nas gravações, apesar de os scripts terem sido projetados para excluí-las. Os pesquisadores descobriram que outras informações pessoais também não eram frequentemente editadas, ou apenas parcialmente editadas, pelo menos em alguns scripts..

Motivo para alarme - Portanto, não apenas os scripts de rastreamento registram todos os seus movimentos, como também as ferramentas de edição que devem proteger dados confidenciais nem sempre funcionam corretamente.

Deseja que seus dados sejam apagados desses servidores de terceiros?

Boa sorte.

Não há opção de exclusão - mas você pode bloquear esses scripts, que abordaremos mais abaixo.

Os culpados

Os pesquisadores divulgaram os dados aqui, que inclui cerca de 97.000 sites que "incorporam scripts de provedores de análise que oferecem serviços de gravação de sessões". Eles examinaram apenas sete dos scripts de gravação de sessão mais populares. Portanto, o estudo não é exaustivo, principalmente quando se considera a ampla expansão no campo do rastreamento on-line.

Para ver quais sites VPN foram incluídos no conjunto de dados, você pode fazer o download do arquivo CSV compactado aqui.

Ao examinar o arquivo CSV, você encontrará os seguintes provedores de VPN e os scripts de gravação de sessão encontrados em seus sites.

Nota: desde que o relatório foi publicado pela primeira vez no início deste mês, a maioria das VPNs removeu os scripts de gravação de sessão de seus sites. No entanto, com alguns provedores, os scripts ainda estão em uso:

Local na rede Internet

Gravador de sessão

Ainda em uso?

astrill.com
hotjar
sim

cyberghostvpn.com
hotjar
Não

hidemyass.com
hotjar
Não

ipvanish.com
hotjar
Não

nordvpn.com
hotjar
Não

purevpn.com
hotjar
sim

safervpn.com
inspecionar
sim

strongvpn.com
hotjar
Não

zenmate.com
hotjar
Não

Os serviços de VPN prometem proteger a privacidade dos usuários e, ao mesmo tempo, utilizam scripts de gravação de sessão, o que viola essa privacidade..

Compartilhamento de dados de terceiros - Outra contradição óbvia aqui é que muitas dessas VPNs também afirmam não compartilhar dados com terceiros. No entanto, por padrão, esses scripts são projetados para gravar tudo e enviar os dados para servidores de terceiros.

Portanto, o uso de scripts de gravação de sessão pode ser violando a política de privacidade da VPN.

Nenhum aviso - Isso também é problemático porque os usuários geralmente precisam acessar o site da VPN e a área de membros, como ao baixar software, obter suporte ou renovar uma assinatura. Infelizmente, não parece que esses sites estejam emitindo qualquer tipo de aviso, como:

“AVISO - Tudo o que você faz está sendo gravado e enviado para servidores de terceiros. Não há como optar por sair.

Proteja-se

O rastreamento e a coleta de dados são um negócio muito grande e crescente. Dado que existem milhares de sites que hospedam esses scripts e não há maneira eficaz de optar por não participar, a única solução que resta é bloqueá-los.

O artigo original alegava que Adblock Plus irá bloquear todos os scripts de gravação de sessão identificados no estudo. Outro complemento do navegador que deve efetivamente bloquear a execução desses scripts é NoScript. E finalmente, Origem do uBlock deve funcionar também.

Outra solução é utilizar um bloqueador de anúncios VPN que filtre esses scripts e domínios no nível do servidor VPN. Eu testei o  recurso de  e descobriu que ele bloqueia efetivamente os scripts "hotjar" e "inspecionar" citados acima.

Atualização 4 de dezembro de 2017 - O SaferVPN removeu o script "inspectlet" do site.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me