vpn scripts de grabación


Muchas VPN prometen proteger su privacidad y seguridad, pero ¿y si sus sitios web estuvieran grabando cada movimiento y enviando los datos a servidores de terceros??

Recientemente se conoció la noticia de que algunos de los sitios web más populares del mundo están grabando:

  • todas tus pulsaciones de teclas;
  • movimientos del mouse;
  • comportamiento de desplazamiento;
  • cualquier contenido que escriba en formularios (tarjetas de crédito, contraseñas, direcciones, etc.), incluso si el formulario no se envía;
  • y el contenido de la página en sí, y esta información se transmite automáticamente a servidores de terceros.

Esencialmente, estos scripts de seguimiento actúan como un Cámara de vigilancia Literalmente grabando cada movimiento que haces mientras navega por el sitio web.

Antes de revelar a los infractores de VPN, pongamos esto en perspectiva.

Muchos sitios web utilizan Google Analytics u otro software de seguimiento, que ayuda a optimizar el contenido del sitio. Esta es una práctica estándar, aunque no es ideal. Sin embargo, cuando un equipo de investigadores de Princeton examinó estos guiones de grabación de sesión, descubrieron un nivel completamente nuevo de seguimiento y vigilancia corporativa.

Con solo unas pocas secuencias de comandos de "reproducción de sesión" agregadas al código, los sitios web pueden grabar fácilmente cada movimiento. Aquí hay un script de respuesta de sesión (FullStory) en acción:

Grabación de sesiones en acción.

Ahora examinemos los problemas que esto crea ...

Qué podría salir mal?

Obviamente, esto crea riesgos de privacidad y seguridad para el usuario final, que sin saberlo está transmitiendo datos personales (datos potencialmente confidenciales) a servidores de terceros..

El informe de investigación resumió los siguientes riesgos:

La recopilación del contenido de la página por secuencias de comandos de reproducción de terceros puede causar que información confidencial como condiciones médicas, detalles de la tarjeta de crédito y otra información personal que se muestra en una página se filtren al tercero como parte de la grabación. Esto puede exponer a los usuarios al robo de identidad, estafas en línea y otros comportamientos no deseados. Lo mismo es cierto para la recopilación de entradas del usuario durante los procesos de pago y registro..

Además, estas compañías, como FullStory, también permiten a los propietarios de sitios web "vincular las grabaciones que recopilan con las de un usuario identidad real."

Privacidad perdida.

Con sus datos privados en servidores de terceros, esto crea más problemas a largo plazo, como se discutió en el informe:

Finalmente, los autores del estudio están preocupados de que las compañías de guiones de sesión puedan ser vulnerables a ataques específicos, especialmente porque probablemente sean objetivos de alto valor. Por ejemplo, muchas de estas compañías tienen paneles de control donde los clientes pueden reproducir las grabaciones que recopilan. Pero los paneles de Yandex, Hotjar y Smartlook ejecutan páginas HTTP no encriptadas, en lugar de páginas HTTPS encriptadas mucho más seguras.

También es importante tener en cuenta que algunas de estas empresas sí proporcionan herramientas de redacción. En teoría, estas herramientas excluirían los datos confidenciales de ser grabados y almacenados en servidores de terceros. Sin embargo, los investigadores encontraron que este no suele ser el caso.

Como se discutió en el informe:

Las contraseñas a menudo se incluyen accidentalmente en las grabaciones, a pesar de que las secuencias de comandos están diseñadas para excluirlas. Los investigadores encontraron que otra información personal a menudo tampoco fue redactada, o solo parcialmente, al menos con algunos de los guiones..

Causa de alarma - Por lo tanto, no solo los scripts de seguimiento registran cada movimiento, sino que las herramientas de redacción que se supone que protegen los datos confidenciales no siempre funcionan correctamente.

¿Desea borrar sus datos de estos servidores de terceros??

Buena suerte.

No hay opción de exclusión, pero puede bloquear estos scripts, que cubriremos más adelante..

Los culpables

Los investigadores han publicado los datos aquí, que incluyen alrededor de 97,000 sitios web que "incorporan scripts de proveedores de análisis que ofrecen servicios de grabación de sesiones". Examinaron solo siete de los guiones de grabación de sesiones más populares. Por lo tanto, el estudio no es exhaustivo, especialmente si se considera la amplia expansión en el campo del seguimiento en línea..

Para ver qué sitios web de VPN se incluyeron en el conjunto de datos, puede descargar el archivo CSV comprimido aquí.

Cuando examine el archivo CSV, encontrará los siguientes proveedores de VPN y los scripts de grabación de sesión que se encontraron en sus sitios web.

Nota: desde que el informe se publicó por primera vez a principios de este mes, la mayoría de las VPN han eliminado las secuencias de comandos de grabación de sesión de sus sitios web. Sin embargo, con algunos proveedores, los scripts todavía están en uso:

Sitio web

Grabadora de sesiones

Todavia en uso?

astrill.com
hotjar
si

cyberghostvpn.com
hotjar
No

hidemyass.com
hotjar
No

ipvanish.com
hotjar
No

nordvpn.com
hotjar
No

purevpn.com
hotjar
si

safervpn.com
Inspectlet
si

strongvpn.com
hotjar
No

zenmate.com
hotjar
No

Los servicios de VPN prometen proteger la privacidad de los usuarios, al mismo tiempo que utilizan secuencias de comandos de grabación de sesión, lo que viola esa privacidad..

Intercambio de datos de terceros. - Otra contradicción obvia aquí es que muchas de estas VPN también afirman que no comparten datos con terceros. Sin embargo, de forma predeterminada, estos scripts están diseñados para registrar todo y enviar los datos a servidores de terceros..

Por lo tanto, el uso de secuencias de comandos de grabación de sesión puede ser violar la política de privacidad de la VPN.

Sin advertencia - Esto también es problemático porque los usuarios a menudo necesitan acceder al sitio web de VPN y al área de miembros, como al descargar software, obtener soporte o renovar una suscripción. Desafortunadamente, no parece que estos sitios emitan ningún tipo de advertencia, como:

"ADVERTENCIA: todo lo que haces se graba y se envía a servidores de terceros. No hay forma de darse de baja ".

Protégete a ti mismo

El seguimiento y la recopilación de datos es un negocio muy grande y en crecimiento. Dado que hay miles de sitios web que alojan estos scripts, y no hay una forma efectiva de darse de baja, la única solución que queda es bloquearlos.

El artículo original afirmaba que Adblock Plus bloqueará todas las secuencias de comandos de grabación de sesión identificadas en el estudio. Otro complemento del navegador que debería bloquear efectivamente la ejecución de estos scripts es NoScript. Y finalmente, Origen de uBlock debería funcionar también.

Otra solución es utilizar un bloqueador de anuncios VPN que filtre estos scripts y dominios en el nivel del servidor VPN. Probé el  característica de  y descubrió que efectivamente bloquea los scripts de "hotjar" e "inspectlet" citados anteriormente.

Actualización 4 de diciembre de 2017 - SaferVPN ha eliminado el script "inspectlet" de su sitio web.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me