skrip rekaman vpn


Banyak VPN berjanji untuk melindungi privasi dan keamanan Anda - tetapi bagaimana jika situs web mereka merekam setiap gerakan Anda dan mengirimkan data ke server pihak ketiga?

Baru-baru ini tersiar kabar bahwa beberapa situs web paling populer di dunia sedang merekam:

  • semua penekanan tombol Anda;
  • gerakan mouse;
  • perilaku bergulir;
  • konten apa pun yang Anda ketik di formulir (kartu kredit, kata sandi, alamat, dll.), bahkan jika formulir itu tidak dikirimkan;
  • dan konten halaman itu sendiri, dengan informasi ini secara otomatis dikirim ke server pihak ketiga.

Pada dasarnya, skrip pelacakan ini bertindak seperti a kamera pengintai - secara harfiah merekam setiap gerakan yang Anda lakukan saat Anda menelusuri situs web.

Sebelum kami mengungkap pelanggar VPN, mari kita menempatkan ini ke dalam perspektif.

Banyak situs web menggunakan Google Analytics, atau perangkat lunak pelacakan lain, yang membantu mengoptimalkan konten situs. Ini adalah praktik standar, meskipun itu tidak ideal. Namun, ketika tim peneliti dari Princeton memeriksa ini skrip rekaman sesi, mereka menemukan tingkat pelacakan dan pengawasan perusahaan yang sama sekali baru.

Dengan hanya beberapa skrip "replay sesi" yang ditambahkan ke kode, situs web dapat dengan mudah merekam setiap gerakan Anda. Berikut adalah skrip balasan sesi (FullStory) yang sedang beraksi:

Rekaman sesi dalam aksi.

Sekarang mari kita periksa masalah yang ditimbulkannya ...

Apa yang mungkin salah?

Ini jelas menciptakan risiko privasi dan keamanan bagi pengguna akhir, yang secara tidak sadar mentransmisikan data pribadi - data yang berpotensi sensitif - ke server pihak ketiga.

Laporan penelitian merangkum risiko berikut:

Pengumpulan konten halaman oleh skrip replay pihak ketiga dapat menyebabkan informasi sensitif seperti kondisi medis, detail kartu kredit, dan informasi pribadi lainnya yang ditampilkan pada halaman bocor ke pihak ketiga sebagai bagian dari rekaman. Ini dapat membuat pengguna terungkap pencurian identitas, penipuan online, dan perilaku tidak diinginkan lainnya. Hal yang sama berlaku untuk pengumpulan input pengguna selama proses checkout dan registrasi.

Selain itu, perusahaan-perusahaan ini, seperti FullStory, juga memungkinkan pemilik situs web untuk "menautkan rekaman yang mereka kumpulkan ke pengguna identitas asli.”

Privasi hilang.

Dengan data pribadi Anda berada di server pihak ketiga, ini menciptakan lebih lanjut masalah jangka panjang, sebagaimana dibahas dalam laporan:

Akhirnya, penulis studi khawatir bahwa perusahaan skrip sesi bisa rentan terhadap peretasan yang ditargetkan, terutama karena mereka kemungkinan besar adalah target bernilai tinggi. Misalnya, banyak dari perusahaan ini memiliki dasbor tempat klien dapat memutar rekaman yang mereka kumpulkan. Tetapi dashboard Yandex, Hotjar, dan Smartlook menjalankan halaman HTTP yang tidak dienkripsi, daripada halaman HTTPS terenkripsi yang jauh lebih aman.

Penting juga untuk dicatat bahwa beberapa perusahaan ini memang menyediakan alat redaksi. Secara teori, alat-alat ini akan mengecualikan data sensitif dari direkam dan disimpan di server pihak ketiga. Namun, para peneliti menemukan bahwa ini sering tidak terjadi.

Sebagaimana dibahas dalam laporan:

Kata sandi seringkali tidak sengaja dimasukkan dalam rekaman, meskipun demikian skrip tersebut dirancang untuk mengecualikannya. Para peneliti menemukan bahwa informasi pribadi lainnya juga sering tidak dihapus, atau hanya dihapus sebagian, setidaknya dengan beberapa skrip.

Penyebab alarm - Jadi bukan hanya skrip pelacakan yang merekam setiap gerakan Anda, alat redaksi yang seharusnya melindungi data sensitif tidak selalu berfungsi dengan baik.

Apakah Anda ingin menghapus data Anda dari server pihak ketiga ini?

Semoga berhasil.

Tidak ada pilihan keluar - tetapi Anda dapat memblokir skrip ini, yang akan kami bahas lebih lanjut di bawah ini.

Penyebabnya

Para peneliti telah merilis data di sini, yang mencakup sekitar 97.000 situs web yang "menyematkan skrip dari penyedia analisis yang menawarkan layanan perekaman sesi". Mereka hanya memeriksa tujuh skrip rekaman sesi paling populer. Oleh karena itu, penelitian ini sama sekali tidak lengkap, terutama ketika mempertimbangkan ekspansi luas di bidang pelacakan online.

Untuk melihat situs web VPN mana yang termasuk dalam kumpulan data, Anda dapat mengunduh file CSV yang di-zip di sini.

Saat Anda memeriksa file CSV, Anda akan menemukan penyedia VPN berikut dan skrip rekaman sesi yang ditemukan di situs web mereka.

Catatan: sejak laporan ini pertama kali diterbitkan awal bulan ini, sebagian besar VPN telah menghapus skrip rekaman sesi dari situs web mereka. Namun, dengan beberapa penyedia, skrip masih digunakan:

Situs web

Perekam sesi

Masih digunakan?

astrill.com
hotjar
Iya

cyberghostvpn.com
hotjar
Tidak

hidemyass.com
hotjar
Tidak

ipvanish.com
hotjar
Tidak

nordvpn.com
hotjar
Tidak

purevpn.com
hotjar
Iya

safervpn.com
inspectlet
Iya

strongvpn.com
hotjar
Tidak

zenmate.com
hotjar
Tidak

Layanan VPN menjanjikan untuk melindungi privasi pengguna, sementara pada saat yang sama memanfaatkan skrip rekaman sesi, yang melanggar privasi itu..

Berbagi data pihak ketiga - Kontradiksi lain yang jelas di sini adalah bahwa banyak dari VPN ini juga mengklaim tidak berbagi data dengan pihak ketiga. Namun, secara default skrip ini dirancang untuk merekam semuanya dan mengirim data ke server pihak ketiga.

Oleh karena itu penggunaan skrip rekaman sesi mungkin melanggar kebijakan privasi VPN.

Tanpa peringatan - Ini juga bermasalah karena pengguna sering perlu mengakses situs web VPN dan area anggota, seperti ketika mengunduh perangkat lunak, mendapatkan dukungan, atau memperbarui langganan. Sayangnya, tampaknya situs-situs ini tidak mengeluarkan peringatan apa pun, seperti:

“PERINGATAN - Semua yang Anda lakukan direkam dan dikirim ke server pihak ketiga. Tidak ada cara untuk memilih keluar. "

Lindungi dirimu sendiri

Pelacakan dan pengumpulan data adalah bisnis yang sangat besar dan terus berkembang. Mengingat ada ribuan situs web yang menghosting skrip ini, dan tidak ada cara yang efektif untuk memilih keluar, satu-satunya solusi yang tersisa adalah memblokirnya.

Artikel asli mengklaim itu Adblock Plus akan memblokir semua skrip rekaman sesi yang diidentifikasi dalam penelitian ini. Pengaya peramban lain yang harus secara efektif memblokir skrip ini agar tidak berjalan adalah NoScript. Dan akhirnya, uKunci Asal harus bekerja juga.

Solusi lain adalah dengan memanfaatkan pemblokir iklan VPN yang memfilter skrip dan domain ini di tingkat server VPN. Saya menguji  fitur dari  dan menemukannya secara efektif memblokir skrip "hotjar" dan "inspectlet" yang dikutip di atas.

Pembaruan 4 Desember 2017 - SaferVPN telah menghapus skrip "inspectlet" dari situs web mereka.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me