สคริปต์การบันทึก VPN


VPN หลายคนสัญญาว่าจะปกป้องความเป็นส่วนตัวและความปลอดภัยของคุณ - แต่ถ้าเว็บไซต์ของพวกเขาบันทึกทุกการเคลื่อนไหวและส่งข้อมูลไปยังเซิร์ฟเวอร์บุคคลที่สาม?

ข่าวเมื่อเร็ว ๆ นี้รายงานว่าเว็บไซต์ยอดนิยมของโลกบางแห่งกำลังบันทึก:

  • การกดแป้นทั้งหมดของคุณ
  • การเคลื่อนไหวของเมาส์
  • พฤติกรรมการเลื่อน
  • เนื้อหาใด ๆ ที่คุณพิมพ์ลงในแบบฟอร์ม (บัตรเครดิตรหัสผ่านที่อยู่ ฯลฯ ) แม้ว่าจะไม่ได้ส่งแบบฟอร์มก็ตาม
  • และเนื้อหาของหน้าเว็บด้วยข้อมูลนี้จะถูกส่งไปโดยอัตโนมัติ เซิร์ฟเวอร์บุคคลที่สาม.

โดยพื้นฐานแล้วสคริปต์ติดตามเหล่านี้ทำหน้าที่เหมือน กล้องวงจรปิด - แท้จริง บันทึกทุกการเคลื่อนไหวของคุณ ในขณะที่คุณเรียกดูเว็บไซต์.

ก่อนที่เราจะเปิดเผยผู้กระทำผิดเกี่ยวกับ VPN ให้เรานำแนวคิดนี้ไปใช้.

เว็บไซต์หลายแห่งใช้ Google Analytics หรือซอฟต์แวร์ติดตามอื่น ๆ ซึ่งช่วยในการเพิ่มประสิทธิภาพเนื้อหาของเว็บไซต์ นี่คือการปฏิบัติมาตรฐานแม้ว่ามันจะไม่เหมาะ อย่างไรก็ตามเมื่อทีมนักวิจัยจาก Princeton ทำการตรวจสอบสิ่งเหล่านี้ สคริปต์การบันทึกเซสชัน, พวกเขาเปิดเผยระดับใหม่ของการติดตามและการเฝ้าระวังขององค์กร.

ด้วยการเพิ่มสคริปต์“ เซสชันรีเพลย์” เพียงไม่กี่ตัวในรหัสเว็บไซต์สามารถบันทึกทุกการเคลื่อนไหวของคุณได้อย่างง่ายดาย นี่คือสคริปต์การตอบกลับเซสชัน (FullStory) ที่ใช้งาน:

กำลังดำเนินการบันทึกเซสชัน.

ตอนนี้เรามาตรวจสอบปัญหาที่สร้างขึ้น ...

สิ่งที่อาจจะผิดไป?

สิ่งนี้จะสร้างความเสี่ยงด้านความเป็นส่วนตัวและความปลอดภัยสำหรับผู้ใช้ปลายทางซึ่งกำลังส่งข้อมูลส่วนบุคคลโดยไม่รู้ตัวซึ่งอาจเป็นข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ของบุคคลที่สาม.

รายงานการวิจัยสรุปความเสี่ยงดังต่อไปนี้:

การรวบรวมเนื้อหาของหน้าโดยสคริปต์การเล่นซ้ำของบุคคลที่สามอาจทำให้เกิดข้อมูลที่ละเอียดอ่อนเช่นเงื่อนไขทางการแพทย์รายละเอียดบัตรเครดิตและข้อมูลส่วนตัวอื่น ๆ ที่แสดงบนหน้าเว็บเพื่อรั่วไหลไปยังบุคคลที่สามซึ่งเป็นส่วนหนึ่งของการบันทึก สิ่งนี้อาจทำให้ผู้ใช้ถูกขโมยข้อมูลประจำตัวการหลอกลวงออนไลน์และพฤติกรรมที่ไม่พึงประสงค์อื่น ๆ เช่นเดียวกับการรวบรวมอินพุตของผู้ใช้ระหว่างกระบวนการชำระเงินและการลงทะเบียน.

นอกจากนี้ บริษัท เหล่านี้เช่น FullStory ยังอนุญาตให้เจ้าของเว็บไซต์“ เชื่อมโยงการบันทึกที่รวบรวมได้กับผู้ใช้ ตัวตนที่แท้จริง.”

ความเป็นส่วนตัวหายไป.

ด้วยข้อมูลส่วนตัวของคุณที่อยู่บนเซิร์ฟเวอร์ของบุคคลที่สามสิ่งนี้จะสร้างเพิ่มเติม ปัญหาระยะยาว, ตามที่กล่าวไว้ในรายงาน:

ในที่สุดผู้เขียนของการศึกษากังวลว่า บริษัท สคริปต์เซสชันอาจเสี่ยงต่อการแฮ็กเป้าหมายโดยเฉพาะอย่างยิ่งเพราะพวกเขาน่าจะเป็นเป้าหมายที่มีมูลค่าสูง ตัวอย่างเช่นหลาย บริษัท เหล่านี้มีแผงควบคุมที่ลูกค้าสามารถเล่นสิ่งที่พวกเขารวบรวมได้ แต่แดชบอร์ดของ Yandex, Hotjar และ Smartlook นั้นใช้หน้า HTTP ที่ไม่มีการเข้ารหัสมากกว่าหน้า HTTPS ที่เข้ารหัสและปลอดภัยกว่า.

สิ่งสำคัญคือต้องทราบว่า บริษัท เหล่านี้บางแห่งมีเครื่องมือในการตอบโต้ ในทางทฤษฎีเครื่องมือเหล่านี้จะแยกข้อมูลที่สำคัญออกจากการบันทึกและเก็บไว้ในเซิร์ฟเวอร์ของบุคคลที่สาม อย่างไรก็ตามนักวิจัยพบว่าสิ่งนี้ไม่ได้เกิดขึ้นบ่อยนัก.

ตามที่กล่าวไว้ในรายงาน:

รหัสผ่านมักจะรวมอยู่ในการบันทึกโดยไม่ตั้งใจแม้จะมีสคริปต์ที่ออกแบบมาเพื่อยกเว้น นักวิจัยพบว่าข้อมูลส่วนบุคคลอื่น ๆ นั้นมักจะไม่ถูก redacted หรือเพียงแค่ทำซ้ำบางส่วนอย่างน้อยก็มีสคริปต์บางส่วน.

ทำให้เกิดการเตือนภัย - ดังนั้นไม่เพียง แต่สคริปต์การติดตามที่บันทึกทุกการเคลื่อนไหวของคุณเครื่องมือ redaction ที่ควรจะปกป้องข้อมูลที่สำคัญไม่ได้ทำงานอย่างถูกต้องเสมอไป.

คุณต้องการลบข้อมูลของคุณจากเซิร์ฟเวอร์บุคคลที่สามเหล่านี้หรือไม่?

โชคดี.

ไม่มีการยกเลิก แต่คุณสามารถบล็อกสคริปต์เหล่านี้ซึ่งเราจะกล่าวเพิ่มเติมด้านล่าง.

ผู้ร้าย

นักวิจัยได้เผยแพร่ข้อมูลที่นี่ซึ่งรวมถึงเว็บไซต์ประมาณ 97,000 แห่งที่“ ฝังสคริปต์จากผู้ให้บริการวิเคราะห์ที่ให้บริการการบันทึกเซสชัน” พวกเขาตรวจสอบสคริปต์บันทึกเซสชันที่ได้รับความนิยมสูงสุดเพียงเจ็ดรายการเท่านั้น ดังนั้นการศึกษาจึงไม่ใช่เรื่องละเอียดถี่ถ้วนโดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงการขยายวงกว้างในด้านการติดตามออนไลน์.

หากต้องการดูเว็บไซต์ VPN ที่รวมอยู่ในชุดข้อมูลคุณสามารถดาวน์โหลดไฟล์ CSV ที่ซิปได้ที่นี่.

เมื่อคุณตรวจสอบไฟล์ CSV คุณจะพบผู้ให้บริการ VPN ต่อไปนี้และสคริปต์การบันทึกเซสชันที่พบในเว็บไซต์ของพวกเขา.

หมายเหตุ: เนื่องจากรายงานถูกตีพิมพ์ครั้งแรกเมื่อต้นเดือนที่ผ่านมา VPN ส่วนใหญ่จึงลบสคริปต์การบันทึกเซสชันออกจากเว็บไซต์ของพวกเขา อย่างไรก็ตามด้วยผู้ให้บริการบางส่วนสคริปต์ยังคงใช้งานอยู่:

เว็บไซต์

บันทึกเซสชัน

ยังใช้งานอยู่?

astrill.com
hotjar
ใช่

cyberghostvpn.com
hotjar
ไม่

hidemyass.com
hotjar
ไม่

ipvanish.com
hotjar
ไม่

nordvpn.com
hotjar
ไม่

purevpn.com
hotjar
ใช่

safervpn.com
inspectlet
ใช่

strongvpn.com
hotjar
ไม่

zenmate.com
hotjar
ไม่

บริการ VPN มีแนวโน้มที่จะปกป้องความเป็นส่วนตัวของผู้ใช้ในขณะเดียวกันก็ใช้สคริปต์บันทึกเซสชันซึ่งละเมิดความเป็นส่วนตัวนั้น.

การแบ่งปันข้อมูลของบุคคลที่สาม - ความขัดแย้งที่เห็นได้ชัดอีกประการหนึ่งคือ VPN เหล่านี้หลายแห่งอ้างว่าไม่เปิดเผยข้อมูลกับบุคคลที่สาม แต่โดยค่าเริ่มต้นสคริปต์เหล่านี้ได้รับการออกแบบมาเพื่อบันทึกทุกอย่างและส่งข้อมูลไปยังเซิร์ฟเวอร์บุคคลที่สาม.

ดังนั้นการใช้สคริปต์บันทึกเซสชันอาจจะเป็น ละเมิดนโยบายความเป็นส่วนตัวของ VPN.

ไม่มีคำเตือน - นี่เป็นปัญหาเนื่องจากผู้ใช้มักจะต้องเข้าถึงเว็บไซต์ VPN และพื้นที่สมาชิกเช่นเมื่อดาวน์โหลดซอฟต์แวร์, รับการสนับสนุนหรือต่ออายุการสมัครสมาชิก น่าเสียดายที่ไม่ปรากฏว่าไซต์เหล่านี้กำลังออกคำเตือนใด ๆ เช่น:

“ คำเตือน - ทุกสิ่งที่คุณทำจะถูกบันทึกและส่งไปยังเซิร์ฟเวอร์บุคคลที่สาม ไม่มีทางที่จะยกเลิกได้”

ป้องกันตัวเอง

การติดตามและรวบรวมข้อมูลเป็นธุรกิจที่มีขนาดใหญ่และกำลังเติบโต เนื่องจากมีเว็บไซต์หลายพันแห่งที่โฮสต์สคริปต์เหล่านี้และไม่มีวิธีที่มีประสิทธิภาพในการเลือกไม่เข้าร่วมทางออกเดียวที่เหลือคือการบล็อกพวกเขา.

บทความต้นฉบับอ้างว่า Adblock Plus จะบล็อกสคริปต์บันทึกเซสชันทั้งหมดที่ระบุในการศึกษา โปรแกรมเสริมของเบราว์เซอร์อื่นที่ควรบล็อกสคริปต์เหล่านี้ไม่ให้ทำงานได้อย่างมีประสิทธิภาพคือ NoScript. และในที่สุดก็, กำเนิด uBlock ควรทำงานเช่นกัน.

อีกวิธีหนึ่งคือการใช้ VPN ad-blocker ที่กรองสคริปต์และโดเมนเหล่านี้ในระดับเซิร์ฟเวอร์ VPN ฉันทดสอบ  คุณสมบัติจาก  และพบว่าบล็อกสคริปต์ "hotjar" และ "inspectlet" ได้อย่างมีประสิทธิภาพที่อ้างถึงข้างต้น.

อัปเดต 4 ธันวาคม 2560 - SaferVPN ได้ลบสคริปต์ "inspectlet" ออกจากเว็บไซต์ของพวกเขา.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me