script di registrazione VPN


Molte VPN promettono di proteggere la tua privacy e sicurezza, ma cosa succede se i loro siti Web registrano ogni tuo spostamento e inviano i dati a server di terze parti?

Di recente è emersa la notizia che alcuni dei siti Web più famosi al mondo stanno registrando:

  • tutti i tasti premuti;
  • movimenti del mouse;
  • comportamento a scorrimento;
  • qualsiasi contenuto digitato in moduli (carte di credito, password, indirizzi, ecc.), anche se il modulo non viene inviato;
  • e il contenuto della pagina stessa, con la trasmissione automatica di queste informazioni server di terze parti.

In sostanza, questi script di tracciamento si comportano come un videocamera di sorveglianza - letteralmente registrando ogni mossa che fai mentre navighi sul sito.

Prima di rivelare i trasgressori della VPN, mettiamo questo in prospettiva.

Molti siti Web utilizzano Google Analytics o altri software di monitoraggio, che aiutano a ottimizzare il contenuto del sito. Questa è una pratica standard, anche se non è l'ideale. Tuttavia, quando un team di ricercatori di Princeton li ha esaminati script di registrazione della sessione, hanno scoperto un livello completamente nuovo di monitoraggio e sorveglianza aziendale.

Con solo alcuni script di "replay di sessione" aggiunti al codice, i siti Web possono facilmente registrare ogni tua mossa. Ecco uno script di risposta della sessione (FullStory) in azione:

Registrazione della sessione in azione.

Ora esaminiamo i problemi che questo crea ...

Che cosa potrebbe andare storto?

Ciò ovviamente crea rischi per la privacy e la sicurezza per l'utente finale, che sta inconsapevolmente trasmettendo dati personali - dati potenzialmente sensibili - a server di terze parti.

Il rapporto di ricerca ha riassunto i seguenti rischi:

La raccolta del contenuto della pagina da parte di script di replay di terze parti può far sì che informazioni sensibili come condizioni mediche, dettagli della carta di credito e altre informazioni personali visualizzate su una pagina vengano divulgate a terzi durante la registrazione. Ciò può esporre gli utenti a furti di identità, truffe online e altri comportamenti indesiderati. Lo stesso vale per la raccolta di input dell'utente durante i processi di checkout e registrazione.

Inoltre, queste aziende, come FullStory, consentono anche ai proprietari di siti Web di "collegare le registrazioni che raccolgono a quelle di un utente vera identità.”

Privacy persa.

Con i tuoi dati privati ​​seduti su server di terze parti, questo crea ulteriore problemi a lungo termine, come discusso nel rapporto:

Infine, gli autori dello studio sono preoccupati che le società di script di sessione possano essere vulnerabili a attacchi mirati, soprattutto perché sono probabilmente obiettivi di alto valore. Ad esempio, molte di queste aziende hanno dashboard in cui i clienti possono riprodurre le registrazioni che raccolgono. Ma le dashboard di Yandex, Hotjar e Smartlook eseguono pagine HTTP non crittografate, piuttosto che pagine HTTPS molto più sicure e crittografate.

È anche importante notare che alcune di queste aziende forniscono strumenti di redazione. In teoria, questi strumenti escluderebbero la registrazione e l'archiviazione di dati sensibili su server di terze parti. Tuttavia, i ricercatori hanno scoperto che spesso non è così.

Come discusso nel rapporto:

Le password sono spesso accidentalmente incluse nelle registrazioni, nonostante gli script siano progettati per escluderle. I ricercatori hanno scoperto che altre informazioni personali spesso non sono state redatte, o solo parzialmente ridotte, almeno con alcuni degli script.

Causa dell'allarme - Quindi non solo gli script di tracciamento registrano ogni tua mossa, ma gli strumenti di redazione che dovrebbero proteggere i dati sensibili non funzionano sempre correttamente.

Desideri che i tuoi dati vengano cancellati da questi server di terze parti?

In bocca al lupo.

Non è possibile annullare la sottoscrizione, ma puoi bloccare questi script, che tratteremo più avanti.

I colpevoli

I ricercatori hanno rilasciato qui i dati, che includono circa 97.000 siti Web che "incorporano script di fornitori di analisi che offrono servizi di registrazione delle sessioni". Hanno esaminato solo sette degli script di registrazione delle sessioni più popolari. Pertanto, lo studio non è affatto esaustivo, soprattutto se si considera l'ampia espansione nel campo del monitoraggio online.

Per vedere quali siti Web VPN sono stati inclusi nel set di dati, è possibile scaricare qui il file CSV compresso.

Quando esaminerai il file CSV, troverai i seguenti provider VPN e gli script di registrazione della sessione trovati sui loro siti Web.

Nota: poiché il rapporto è stato pubblicato per la prima volta all'inizio di questo mese, la maggior parte delle VPN ha rimosso gli script di registrazione della sessione dai propri siti Web. Tuttavia, con alcuni provider, gli script sono ancora in uso:

Sito web

Registratore di sessione

Ancora in uso?

astrill.com
hotjar

cyberghostvpn.com
hotjar
No

hidemyass.com
hotjar
No

ipvanish.com
hotjar
No

nordvpn.com
hotjar
No

purevpn.com
hotjar

safervpn.com
inspectlet

strongvpn.com
hotjar
No

zenmate.com
hotjar
No

I servizi VPN promettono di proteggere la privacy degli utenti, utilizzando allo stesso tempo gli script di registrazione delle sessioni, il che viola tale privacy.

Condivisione di dati di terze parti - Un'altra ovvia contraddizione qui è che molte di queste VPN affermano anche di non condividere dati con terze parti. Tuttavia, per impostazione predefinita questi script sono progettati per registrare tutto e inviare i dati a server di terze parti.

Pertanto potrebbe essere l'uso di script di registrazione della sessione violando la politica sulla privacy della VPN.

Nessun avviso - Questo è anche problematico perché gli utenti devono spesso accedere al sito Web VPN e all'area membri, ad esempio quando scaricano software, ottengono assistenza o rinnovano un abbonamento. Sfortunatamente, non sembra che questi siti emettano alcun tipo di avviso, come:

“ATTENZIONE - Tutto ciò che fai è essere registrato e inviato a server di terze parti. Non c'è modo di rinunciare ".

Proteggiti

Il monitoraggio e la raccolta dei dati sono un business molto grande e in crescita. Dato che ci sono migliaia di siti Web che ospitano questi script e non esiste un modo efficace per annullare l'iscrizione, l'unica soluzione rimasta è bloccarli.

L'articolo originale lo affermava Adblock Plus bloccherà tutti gli script di registrazione della sessione identificati nello studio. Un altro componente aggiuntivo del browser che dovrebbe bloccare efficacemente l'esecuzione di questi script è NoScript. E infine, uBlock Origin dovrebbe funzionare anche.

Un'altra soluzione è utilizzare un blocco annunci VPN che filtra questi script e domini a livello di server VPN. Ho testato il  caratteristica da  e l'ho trovato per bloccare efficacemente gli script "hotjar" e "inspectlet" citati sopra.

Aggiornamento del 4 dicembre 2017 - SaferVPN ha rimosso lo script "inspectlet" dal loro sito Web.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me