vpn innspillingsskript


Mange VPN-er lover å beskytte personvernet og sikkerheten din - men hva om nettstedene deres registrerte hvert eneste trekk og sendte dataene til tredjepartsservere?

Nylig brøt nyheter om at noen av verdens mest populære nettsteder spiller inn:

  • alle tastetrykkene dine;
  • musebevegelser;
  • rulleoppførsel;
  • alt innhold du skriver inn i skjemaer (kredittkort, passord, adresser osv.), selv om skjemaet ikke er sendt inn;
  • og innholdet på selve siden, med denne informasjonen automatisk overført til tredjepartsservere.

I hovedsak fungerer disse sporingsskriptene som en overvåkningskamera - bokstavelig ta opp hvert trekk du gjør mens du surfer på nettstedet.

La oss sette dette i perspektiv før vi avslører VPN-lovbryterne.

Mange nettsteder bruker Google Analytics, eller annen sporingsprogramvare, som hjelper deg med å optimalisere innholdet på nettstedet. Dette er standard praksis, selv om det ikke er ideelt. Når et team av forskere fra Princeton undersøkte disse sesjonsopptak skript, de avdekket et helt nytt nivå av sporing og bedriftsovervåking.

Med bare noen få “økt-avspilling” -skripter lagt til koden, kan nettsteder enkelt registrere hvert eneste trekk. Her er et sesjonssvarsskript (FullStory) i aksjon:

Øktopptak i aksjon.

La oss undersøke problemene dette skaper ...

Hva som muligens kan gå galt?

Dette skaper åpenbart personvern og sikkerhetsrisiko for sluttbrukeren, som ubevisst overfører personopplysninger - potensielt sensitive data - til tredjepartsservere.

Forskningsrapporten oppsummerte følgende risikoer:

Innsamling av sideinnhold av tredjeparts replayskript kan føre til at sensitiv informasjon som medisinske forhold, kredittkortdetaljer og annen personlig informasjon som vises på en side, lekker til tredjepart som en del av innspillingen. Dette kan utsette brukere for identitetstyveri, svindel på nettet og annen uønsket atferd. Det samme gjelder innsamlingen av brukerinnganger under kassa og registreringsprosesser.

Videre lar disse selskapene, for eksempel FullStory, også eiere av nettstedet til å "koble opptakene de samler til en bruker ekte identitet.”

Personvern tapt.

Når dine private data sitter på tredjepartsservere, skaper dette ytterligere langsiktige problemer, som diskutert i rapporten:

Til slutt er forfatterne av studien bekymret for at sesjonsskriptselskaper kan være sårbare for målrettede hacks, spesielt fordi de sannsynligvis er mål med høy verdi. For eksempel har mange av disse selskapene dashbord der klienter kan spille av opptakene de samler. Men Yandex, Hotjar og Smartlook dashbordene kjører ikke-krypterte HTTP-sider, i stedet for mye sikrere, krypterte HTTPS-sider.

Det er også viktig å merke seg at noen av disse selskapene tilbyr redigeringsverktøy. I teorien vil disse verktøyene ekskludere sensitive data fra å bli spilt inn og lagret på tredjepartsservere. Forskerne fant imidlertid ut at dette ofte ikke er tilfelle.

Som omtalt i rapporten:

Passord er ofte tilfeldigvis inkludert i innspillinger, til tross for at skriptene er laget for å ekskludere dem. Forskerne fant at annen personlig informasjon ofte ikke ble redigert, eller bare redigert delvis, i det minste med noen av skriptene.

Årsak til alarm - Så ikke bare er sporingsskriptene som registrerer hvert eneste trekk, redigeringsverktøyene som skal beskytte sensitive data, fungerer ikke alltid ordentlig.

Ønsker du å slette dataene dine fra disse tredjepartsserverne?

Lykke til.

Det er ingen bortvalg - men du kan blokkere disse skriptene, som vi vil dekke videre nedenfor.

Den skyldige

Forskerne har gitt ut dataene her, som inkluderer rundt 97 000 nettsteder som "bygger inn skript fra analyseleverandører som tilbyr sesjonsopptjeningstjenester". De undersøkte bare syv av de mest populære sesjonsopptakskriptene. Derfor er studien på ingen måte uttømmende, spesielt når man vurderer den brede utvidelsen innen online sporing.

For å se hvilke VPN-nettsteder som ble inkludert i datasettet, kan du laste ned den zippede CSV-filen her.

Når du undersøker CSV-filen, vil du finne følgende VPN-leverandører og øktregistreringsskriptene som ble funnet på nettstedene deres.

Merk: Siden rapporten ble publisert tidligere denne måneden, har de fleste VPN-er fjernet skriptene til øktopptaket fra sine nettsteder. Hos noen tilbydere er skriptene imidlertid fortsatt i bruk:

nettsted

Øktopptaker

Fortsatt i bruk?

astrill.com
hotjar
Ja

cyberghostvpn.com
hotjar
Nei

hidemyass.com
hotjar
Nei

ipvanish.com
hotjar
Nei

nordvpn.com
hotjar
Nei

purevpn.com
hotjar
Ja

safervpn.com
inspectlet
Ja

strongvpn.com
hotjar
Nei

zenmate.com
hotjar
Nei

VPN-tjenester lover å beskytte brukernes personvern, samtidig som de bruker øktopptaksskript, som krenker personvernet.

Datadeling fra tredjeparter - En annen åpenbar motsetning her er at mange av disse VPN-ene også hevder å ikke dele data med tredjeparter. Likevel er disse skriptene som standard laget for å registrere alt og sende dataene til tredjepartsservere.

Derfor kan bruken av sesjonsopptakskript være bryter VPNs personvernregler.

Ingen advarsel - Dette er også problematisk fordi brukere ofte trenger tilgang til VPN-nettstedet og medlemsområdet, for eksempel når de laster ned programvare, får støtte eller fornyer et abonnement. Dessverre ser det ikke ut til at disse nettstedene utgir noen form for advarsel, for eksempel:

“ADVARSEL - Alt du gjør blir spilt inn og sendt til tredjepartsservere. Det er ingen måte å velge bort. ”

Beskytt deg selv

Sporing og datainnsamling er en veldig stor og voksende virksomhet. Gitt at det er tusenvis av nettsteder som er vert for disse skriptene, og ingen effektiv måte å velge bort, er den eneste løsningen som er igjen å blokkere dem.

Den opprinnelige artikkelen hevdet det Adblock Plus vil blokkere alle skriptene for øktopptak som er identifisert i studien. Et annet nettlesertillegg som effektivt bør blokkere disse skriptene fra å være, er NoScript. Og endelig, uBlock Origin skal fungere også.

En annen løsning er å bruke en VPN-annonse-blokkering som filtrerer disse skriptene og domenene på VPN-servernivå. Jeg testet  funksjon fra  og fant ut at den effektivt kan blokkere “hotjar” og “inspectlet” -skriptene som er nevnt ovenfor.

Oppdater 4. desember 2017 - SaferVPN har fjernet “inspectlet” -skriptet fra nettstedet deres.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me