סקריפטים להקלטת vpn


VPNs רבים מבטיחים להגן על פרטיותך ואבטחתך - אך מה אם אתרי האינטרנט שלהם היו מתעדים את כל מהלךך ושולחים את הנתונים לשרתי צד שלישי?

לאחרונה פורסמו חדשות על כך שכמה מאתרי האינטרנט הפופולריים ביותר בעולם מקליטים:

  • כל הקשות שלך;
  • תנועות עכבר;
  • התנהגות גלילה;
  • כל תוכן שאתה מקליד לטפסים (כרטיסי אשראי, סיסמאות, כתובות וכו '), גם אם הטופס לא מוגש;
  • ותוכן הדף עצמו, כאשר מידע זה מועבר אוטומטית אל שרתי צד שלישי.

בעיקרון, סקריפטים למעקב אלה פועלים כמו מצלמת מעקב - פשוטו כמשמעו רושמת כל מהלך שאתה עושה כשאתה גולש באתר.

לפני שנחשוף את עברייני ה- VPN, בואו נכניס זאת לפרספקטיבה.

אתרים רבים משתמשים בגוגל אנליטיקס, או בתוכנת מעקב אחרת, המסייעת במיטוב תוכן האתר. זהו תרגול רגיל, למרות שהוא אינו אידיאלי. עם זאת, כאשר צוות חוקרים מפרינסטון בדק את אלה סקריפטים להקלטת הפעלה, הם חשפו רמה חדשה לחלוטין של מעקב ומעקב אחר חברות.

עם רק כמה סקריפטים של "הפעלה חוזרת" שנוספו לקוד, אתרים יכולים להקליט בקלות את כל מהלךכם. להלן סקריפט תשובת הפעלה (FullStory) בפעולה:

הקלטת מושב בפעולה.

כעת נבחן את הבעיות שזה יוצר ...

מה יכול להשתבש?

זה כמובן יוצר סיכוני פרטיות ואבטחה עבור משתמש הקצה, המעביר ללא ידיעה מידע אישי - נתונים פוטנציאלים רגישים - לשרתי צד שלישי..

דו"ח המחקר סיכם את הסיכונים הבאים:

איסוף תוכן עמודים על ידי סקריפטים של צד שלישי חוזר עלול לגרום למידע רגיש כמו מצבים רפואיים, פרטי כרטיסי אשראי ומידע אישי אחר המוצג בדף לדלוף לצד שלישי כחלק מההקלטה. זה עשוי לחשוף משתמשים לגניבת זהות, הונאות מקוונות והתנהגות לא רצויה אחרת. כך גם באיסוף תשומות המשתמשים במהלך תהליכי הקופה והרישום.

יתר על כן, חברות אלה, כמו FullStory, מאפשרות גם לבעלי אתרים "לקשר את ההקלטות שהם אוספים למשתמש של המשתמש זהות אמיתית."

הפרטיות אבדה.

כאשר הנתונים הפרטיים שלך יושבים על שרתי צד שלישי, הדבר יוצר עוד יותר בעיות לטווח הארוך, כפי שנדון בדוח:

לבסוף, מחברי המחקר חוששים שחברות סקריפט של פעילויות באתר יכולות להיות חשופות לפריצים ממוקדים, במיוחד מכיוון שהם ככל הנראה יעדים בעלי ערך גבוה. לדוגמה, לרוב מחברות אלה יש לוחות מחוונים שבהם לקוחות יכולים להשמיע את ההקלטות שהם אוספים. אבל לוח המחוונים של Yandex, Hotjar ו- Smartlook מפעיל דפי HTTP לא מוצפנים, ולא דפי HTTPS מוצפנים בהרבה..

חשוב גם לציין שחלק מהחברות הללו אכן מספקות כלי שינויים. להלכה, כלים אלה לא יכללו בהקלטה ובאחסון של נתונים רגישים בשרתים של צד שלישי. עם זאת, החוקרים מצאו שלעתים קרובות זה לא המקרה.

כפי שנדון בדוח:

סיסמאות כלולות לרוב בטעות בהקלטות, למרות שהסקריפטים נועדו להחריג אותם. החוקרים גילו כי לעתים קרובות לא הוצג מחדש מידע אישי אחר, או רק בוצע מחדש באופן חלקי, לפחות עם חלק מהתסריטים..

סיבה להתרעה - כך שלא רק סקריפט המעקב מתעד את כל מהלךכם, כלי ההחלמה שאמורים להגן על נתונים רגישים לא תמיד עובדים כמו שצריך..

האם ברצונך למחוק את הנתונים שלך משרתים של צד שלישי?

בהצלחה.

אין ביטול הסכמה - אך אתה יכול לחסום את הסקריפטים האלה, אותם נרחיב בהמשך.

האשמים

החוקרים פרסמו כאן את הנתונים, הכוללים כ -97,000 אתרים ש"הטביעו סקריפטים מספקי אנליטיקה המציעים שירותי הקלטת הפעלות ". הם בדקו רק שבעה מתוך סקריפטי ההקלטה הפופולריים ביותר. לפיכך המחקר אינו ממצה בשום פנים ואופן, בייחוד כאשר שוקלים את ההתרחבות הרחבה בתחום המעקב המקוון.

כדי לראות אילו אתרי VPN נכללו בערכת הנתונים, תוכלו להוריד את קובץ ה- CSV הרוכסן כאן.

כשבוחנים את קובץ ה- CSV תמצאו את ספקי ה- VPN הבאים ואת סקריפטי הקלטת ההפעלה שנמצאו באתרי האינטרנט שלהם.

הערה: מאז שהדוח פורסם לראשונה מוקדם יותר החודש, מרבית ה- VPNs הסירו את סקריפט הקלטות ההפעלה מאתרי האינטרנט שלהם. עם זאת, אצל ספקים מסוימים, התסריטים עדיין בשימוש:

אתר אינטרנט

מקליט מושבים

עדיין בשימוש?

astrill.com
hotjar
כן

cyberghostvpn.com
hotjar
לא

hidemyass.com
hotjar
לא

ipvanish.com
hotjar
לא

nordvpn.com
hotjar
לא

purevpn.com
hotjar
כן

safervpn.com
inspectlet
כן

strongvpn.com
hotjar
לא

zenmate.com
hotjar
לא

שירותי VPN מבטיחים להגן על פרטיות המשתמשים, ובמקביל להשתמש בסקריפטים להקלטת הפעלות, שמפרים את הפרטיות הזו..

שיתוף נתונים של צד שלישי - סתירה ברורה נוספת כאן היא שרבים מ- VPNs אלה גם טוענים שאינם חולקים נתונים עם צדדים שלישיים. עם זאת, כברירת מחדל סקריפטים אלה נועדו להקליט הכל ולשלוח את הנתונים לשרתים של צד שלישי.

לכן השימוש בסקריפטים להקלטת הפעלה עשוי להיות מפר את מדיניות הפרטיות של ה- VPN.

אין אזהרה - זה גם בעייתי מכיוון שלעתים קרובות המשתמשים צריכים לגשת לאתר VPN ולאזור החברים, למשל בעת הורדת תוכנה, קבלת תמיכה או חידוש מנוי. למרבה הצער, לא נראה כי אתרים אלה מפנים אזהרה כלשהי, כגון:

"אזהרה - כל מה שאתה עושה נרשם ונשלח לשרתים של צד שלישי. אין דרך לבטל את הסכמתו. "

הגן על עצמך

מעקב ואיסוף נתונים הוא עסק גדול וגדל מאוד. בהתחשב בכך שיש אלפי אתרים המארחים סקריפטים אלה, ושום דרך יעילה לבטל את הסכמתם, הפיתרון היחיד שנותר הוא לחסום אותם.

המאמר המקורי טען זאת Adblock Plus יחסום את כל סקריפטי הקלטת ההפעלה שזוהו במחקר. תוסף נוסף לדפדפן שאמור לחסום ביעילות את סקריפטים אלה NoScript. ולבסוף, מקור uBlock צריך לעבוד גם כן.

פיתרון נוסף הוא שימוש בחוסם מודעות VPN שמסנן את הסקריפטים והתחומים הללו ברמת שרת VPN. בדקתי את  תכונה מ-  ומצאתי שהוא חוסם ביעילות את התסריטים "hotjar" ו- "inspectlet" שהובאו לעיל.

עדכון 4 בדצמבר 2017 - SaferVPN הסיר את סקריפט ה- "inspectlet" מאתר האינטרנט שלהם.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me