VPN 기록 스크립트


많은 VPN은 개인 정보 및 보안을 보호 할 것을 약속하지만 웹 사이트에서 모든 움직임을 기록하고 데이터를 타사 서버로 보내는 경우?

최근에 세계에서 가장 인기있는 웹 사이트 중 일부가 녹화되고 있다는 소식이 전해졌습니다.

  • 모든 키 입력;
  • 마우스 움직임;
  • 스크롤 동작;
  • 양식이 제출되지 않은 경우에도 양식에 입력 한 모든 내용 (신용 카드, 비밀번호, 주소 등)
  • 이 정보가 자동으로 전송되는 페이지 자체의 내용 타사 서버.

기본적으로 이러한 추적 스크립트는 감시 카메라 – 말 그대로 모든 움직임을 기록 웹 사이트를 탐색 할 때.

VPN 위반자를 공개하기 전에이를 관점으로 살펴 보겠습니다.

많은 웹 사이트에서 Google 웹 로그 분석 또는 기타 추적 소프트웨어를 사용하여 사이트의 콘텐츠를 최적화합니다. 이상적이지는 않지만 표준 방법입니다. 그러나 프린스턴 연구원들이이 연구를 조사했을 때 세션 기록 스크립트, 그들은 완전히 새로운 수준의 추적 및 기업 감시를 발견했습니다.

코드에 몇 가지“세션 재생”스크립트를 추가하면 웹 사이트에서 모든 움직임을 쉽게 기록 할 수 있습니다. 다음은 세션 응답 스크립트 (FullStory)입니다.

실제 세션 녹화.

이제이 문제가 발생하는 문제를 살펴 보겠습니다.

무엇이 잘못 될 수 있는가?

이로 인해 개인 데이터 (잠재적으로 민감한 데이터)를 타사 서버로 모르게 전송하는 최종 사용자에게 개인 정보 보호 및 보안 위험이 발생합니다..

연구 보고서에는 다음과 같은 위험이 요약되어 있습니다.

타사 재생 스크립트로 페이지 컨텐츠를 수집하면 의료 상태, 신용 카드 세부 사항 및 페이지에 표시된 기타 개인 정보와 같은 민감한 정보가 레코딩의 일부로 타사에 유출 될 수 있습니다. 이로 인해 사용자는 신원 도용, 온라인 사기 및 기타 원치 않는 행동에 노출 될 수 있습니다. 체크 아웃 및 등록 프로세스 중 사용자 입력 수집에 대해서도 마찬가지입니다..

또한 FullStory와 같은 이러한 회사는 웹 사이트 소유자가 "수집 한 기록을 사용자의 실제 정체성."

개인 정보 손실.

개인 데이터를 타사 서버에 저장하면 더 많은 데이터를 생성 할 수 있습니다 장기 문제, 보고서에서 논의한 바와 같이 :

마지막으로, 이번 연구의 저자들은 세션 스크립트 회사가 특히 해킹 대상에 취약 할 수 있다고 우려합니다. 특히 가치가 높은 대상 일 가능성이 있기 때문입니다. 예를 들어, 이러한 많은 회사에는 클라이언트가 수집 한 기록을 재생할 수있는 대시 보드가 있습니다. 그러나 Yandex, Hotjar 및 Smartlook의 대시 보드는 훨씬 더 안전한 암호화 된 HTTPS 페이지가 아닌 암호화되지 않은 HTTP 페이지를 실행합니다..

이러한 회사 중 일부는 수정 도구를 제공한다는 점에도 유의해야합니다. 이론적으로 이러한 도구는 민감한 데이터가 타사 서버에 기록 및 저장되는 것을 배제합니다. 그러나 연구원들은 이것이 사실이 아니라는 것을 발견했습니다..

보고서에서 논의한 바와 같이 :

스크립트가 비밀번호를 제외하도록 설계 되었음에도 불구하고 비밀번호는 종종 실수로 레코딩에 포함됩니다. 연구자들은 다른 개인 정보도 종종 일부 스크립트에서 수정되지 않았거나 부분적으로 만 수정되었다는 것을 발견했습니다..

경보의 원인 – 추적 스크립트가 모든 움직임을 기록 할뿐만 아니라 민감한 데이터를 보호해야하는 수정 도구가 항상 제대로 작동하지는 않습니다..

이 타사 서버에서 데이터를 지우시겠습니까??

행운을 빕니다.

선택 해제는 없지만 아래에서 더 자세히 다룰 스크립트를 차단할 수 있습니다..

범인

연구원들은 여기에 "세션 기록 서비스를 제공하는 분석 제공 업체의 스크립트를 내장 한"약 97,000 개의 웹 사이트를 포함한 데이터를 공개했습니다. 가장 인기있는 세션 기록 스크립트 중 7 개만 조사했습니다. 따라서 특히 온라인 추적 분야의 광범위한 확장을 고려할 때 연구가 결코 철저하지는 않습니다..

데이터 세트에 포함 된 VPN 웹 사이트를 확인하려면 여기에서 압축 CSV 파일을 다운로드하십시오.

CSV 파일을 검사하면 웹 사이트에서 찾은 다음 VPN 공급자 및 세션 기록 스크립트를 찾을 수 있습니다.

참고 :이 달 초에 보고서가 처음 게시되었으므로 대부분의 VPN은 웹 사이트에서 세션 기록 스크립트를 제거했습니다. 그러나 일부 공급자의 경우 스크립트가 여전히 사용 중입니다.

웹 사이트

세션 레코더

여전히 사용 중?

astrill.com
Hotjar

cyberghostvpn.com
Hotjar
아니

hidemyass.com
Hotjar
아니

ipvanish.com
Hotjar
아니

nordvpn.com
Hotjar
아니

purevpn.com
Hotjar

safervpn.com
인스펙터

strongvpn.com
Hotjar
아니

zenmate.com
Hotjar
아니

VPN 서비스는 사용자의 개인 정보를 보호하는 동시에 세션 기록 스크립트를 사용하여 해당 개인 정보를 침해합니다..

타사 데이터 공유 – 또 다른 명백한 모순은 이러한 VPN 중 다수가 데이터를 타사와 공유하지 않는다고 주장하는 것입니다. 그러나 기본적으로 이러한 스크립트는 모든 것을 기록하고 타사 서버로 데이터를 보내도록 설계되었습니다.

따라서 세션 기록 스크립트를 사용하면 VPN의 개인 정보 보호 정책 위반.

경고 없음 – 소프트웨어를 다운로드하거나 지원을 받거나 가입을 갱신 할 때와 같이 VPN 웹 사이트 및 회원 영역에 액세스해야하는 경우가 종종 있습니다. 불행히도 이러한 사이트는 다음과 같은 종류의 경고를 발행하는 것으로 보이지 않습니다.

“경고 – 모든 작업이 기록되어 타사 서버로 전송됩니다. 탈퇴 할 수있는 방법이 없습니다.”

자신을 보호하다

추적 및 데이터 수집은 매우 크고 성장하는 비즈니스입니다. 이러한 스크립트를 호스팅하는 수천 개의 웹 사이트가 있으며 선택 해제 할 수있는 효과적인 방법이 없기 때문에 남은 유일한 해결책은 스크립트를 차단하는 것입니다.

원래 기사는 애드 블록 플러스 연구에서 식별 된 모든 세션 기록 스크립트를 차단합니다. 이러한 스크립트의 실행을 효과적으로 차단해야하는 또 다른 브라우저 애드온은 노 스크립트. 그리고 마지막으로, uBlock 원점 잘 작동합니다.

또 다른 솔루션은 VPN 서버 수준에서 이러한 스크립트와 도메인을 필터링하는 VPN 광고 차단기를 사용하는 것입니다. 나는 테스트했다  ~의 특징  위에서 언급 한 "hotjar"및 "inspectlet"스크립트를 효과적으로 차단하는 것으로 나타났습니다..

2017 년 12 월 4 일 업데이트 – SaferVPN은 웹 사이트에서 "inspectlet"스크립트를 제거했습니다..

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me