Wiele sieci VPN obiecuje chronić Twoją prywatność i bezpieczeństwo - ale co, jeśli ich strony internetowe rejestrują każdy Twój ruch i wysyłają dane na serwery innych firm?


Niedawno pojawiły się wiadomości, że niektóre z najpopularniejszych stron internetowych nagrywają:

  • wszystkie twoje naciśnięcia klawiszy;
  • ruchy myszy;
  • przewijanie;
  • wszelkie treści wpisywane do formularzy (karty kredytowe, hasła, adresy itp.), nawet jeśli formularz nie zostanie przesłany;
  • oraz treść samej strony, przy czym informacje te są automatycznie przesyłane do serwery innych firm.

Zasadniczo te skrypty śledzące działają jak kamera monitorująca - dosłownie nagrywanie każdego wykonanego ruchu podczas przeglądania witryny.

Zanim ujawnimy przestępców VPN, spójrzmy na to z innej perspektywy.

Wiele witryn korzysta z Google Analytics lub innego oprogramowania śledzącego, które pomaga zoptymalizować zawartość witryny. Jest to standardowa praktyka, nawet jeśli nie jest idealna. Jednak gdy zespół naukowców z Princeton zbadał je skrypty nagrywania sesji, odkryli zupełnie nowy poziom śledzenia i nadzoru korporacyjnego.

Za pomocą zaledwie kilku skryptów „powtórzenia sesji” dodanych do kodu, strony internetowe mogą łatwo rejestrować każdy twój ruch. Oto skrypt odpowiedzi sesji (FullStory) w akcji:

Nagrywanie sesji w akcji.

Teraz przeanalizujmy problemy, które to stwarza ...

Co może pójść nie tak?

To oczywiście stwarza ryzyko dla prywatności i bezpieczeństwa dla użytkownika końcowego, który nieświadomie przesyła dane osobowe - potencjalnie wrażliwe dane - na serwery stron trzecich.

Raport z badania podsumował następujące zagrożenia:

Gromadzenie zawartości strony przez skrypty odtwarzania zewnętrznego może powodować wyciek poufnych informacji, takich jak warunki medyczne, dane karty kredytowej i inne dane osobowe wyświetlane na stronie w ramach nagrania. Może to narazić użytkowników na kradzież tożsamości, oszustwa internetowe i inne niepożądane zachowania. To samo dotyczy zbierania danych wejściowych od użytkowników podczas realizacji transakcji i rejestracji.

Ponadto firmy te, takie jak FullStory, pozwalają również właścicielom witryn na „łączenie zgromadzonych nagrań z danymi użytkownika prawdziwa tożsamość.”

Utracono prywatność.

Twoje prywatne dane znajdują się na serwerach innych firm, co tworzy więcej problemy długoterminowe, jak omówiono w raporcie:

Na koniec autorzy badania obawiają się, że firmy skryptowe mogą być narażone na ataki ukierunkowane, szczególnie dlatego, że są prawdopodobnie celami o wysokiej wartości. Na przykład wiele z tych firm ma pulpity nawigacyjne, w których klienci mogą odtwarzać zebrane przez siebie nagrania. Jednak pulpity nawigacyjne Yandex, Hotjar i Smartlook obsługują niezaszyfrowane strony HTTP zamiast znacznie bezpieczniejszych, zaszyfrowanych stron HTTPS.

Należy również pamiętać, że niektóre z tych firm oferują narzędzia do redakcji. Teoretycznie narzędzia te wykluczałyby rejestrowanie i przechowywanie poufnych danych na serwerach stron trzecich. Jednak naukowcy odkryli, że często tak nie jest.

Jak omówiono w raporcie:

Hasła są często przypadkowo dołączane do nagrań, mimo że skrypty zostały zaprojektowane w taki sposób, aby je wykluczać. Naukowcy odkryli, że inne dane osobowe również często nie były redagowane lub tylko redagowane częściowo, przynajmniej w przypadku niektórych skryptów.

Przyczyna alarmu - Więc nie tylko skrypty śledzące rejestrują każdy twój ruch, narzędzia redakcyjne, które mają chronić wrażliwe dane, nie zawsze działają poprawnie.

Czy chcesz, aby Twoje dane zostały usunięte z tych serwerów innych firm??

Powodzenia.

Nie ma możliwości rezygnacji - ale możesz zablokować te skrypty, które omówimy poniżej.

Sprawcy

Badacze opublikowali tutaj dane, które obejmują około 97 000 stron internetowych, które „osadzają skrypty od dostawców usług analitycznych oferujących usługi nagrywania sesji”. Przebadali tylko siedem najpopularniejszych skryptów do nagrywania sesji. Dlatego badanie wcale nie jest wyczerpujące, szczególnie biorąc pod uwagę szerokie rozszerzenie w zakresie śledzenia online.

Aby zobaczyć, które strony VPN zostały uwzględnione w zestawie danych, możesz pobrać spakowany plik CSV tutaj.

Podczas przeglądania pliku CSV można znaleźć następujących dostawców VPN i skrypty rejestrowania sesji, które znaleziono na ich stronach internetowych.

Uwaga: ponieważ raport został opublikowany po raz pierwszy na początku tego miesiąca, większość sieci VPN usunęła skrypty rejestrujące sesje ze swoich stron internetowych. Jednak w przypadku niektórych dostawców skrypty są nadal używane:

Stronie internetowej

Rejestrator sesji

Nadal w użyciu?

astrill.com
hotjar
tak

cyberghostvpn.com
hotjar
Nie

hidemyass.com
hotjar
Nie

ipvanish.com
hotjar
Nie

nordvpn.com
hotjar
Nie

purevpn.com
hotjar
tak

safervpn.com
inspekcja
tak

strongvpn.com
hotjar
Nie

zenmate.com
hotjar
Nie

Usługi VPN obiecują chronić prywatność użytkowników, a jednocześnie wykorzystują skrypty nagrywania sesji, co narusza tę prywatność.

Udostępnianie danych stronom trzecim - Inną oczywistą sprzecznością jest tutaj to, że wiele z tych VPN również twierdzi, że nie udostępnia danych stronom trzecim. Jednak domyślnie skrypty te są zaprojektowane do rejestrowania wszystkiego i wysyłania danych na serwery innych firm.

Dlatego użycie skryptów rejestrujących sesje może być naruszając politykę prywatności VPN.

Bez ostrzeżenia - Jest to również problematyczne, ponieważ użytkownicy często muszą uzyskiwać dostęp do witryny VPN i obszaru członków, na przykład podczas pobierania oprogramowania, uzyskiwania wsparcia lub odnawiania subskrypcji. Niestety nie wydaje się, aby strony te wyświetlały jakiekolwiek ostrzeżenia, takie jak:

„OSTRZEŻENIE - Wszystko, co robisz, jest rejestrowane i wysyłane na serwery innych firm. Nie ma możliwości zrezygnowania. ”

Chroń się

Śledzenie i gromadzenie danych to bardzo duży i rozwijający się biznes. Biorąc pod uwagę, że istnieją tysiące stron internetowych obsługujących te skrypty i nie ma skutecznego sposobu na rezygnację, jedynym rozwiązaniem jest ich zablokowanie.

Oryginalny artykuł twierdził, że Adblock Plus zablokuje wszystkie skrypty rejestrujące sesje zidentyfikowane w badaniu. Innym dodatkiem do przeglądarki, który powinien skutecznie blokować działanie tych skryptów, jest NoScript. I w końcu, uBlock Origin powinien również działać.

Innym rozwiązaniem jest zastosowanie modułu blokującego reklamy VPN, który filtruje te skrypty i domeny na poziomie serwera VPN. Testowałem  funkcja z  i stwierdził, że skutecznie blokuje cytowane powyżej skrypty „hotjar” i „inspectlet”.

Aktualizacja 4 grudnia 2017 r - SaferVPN usunął skrypt „inspectlet” ze swojej strony internetowej.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me