vpn-inspelningsskript


Många VPN: n lovar att skydda din integritet och din säkerhet - men vad händer om deras webbplatser spelade in dina rörelser och skickade informationen till tredje parts servrar?

Nyligen bröt nyheter om att några av världens mest populära webbplatser spelar in:

  • alla dina tangenttryckningar;
  • musrörelser;
  • rullningsbeteende;
  • allt innehåll du skriver in i formulär (kreditkort, lösenord, adresser etc.), även om formuläret inte skickas in;
  • och innehållet på själva sidan, där denna information automatiskt överförs till tredje parts servrar.

I huvudsak fungerar dessa spårningsskript som en övervakningskamera - bokstavligen spela in varje drag du gör när du surfar på webbplatsen.

Innan vi avslöjar VPN-gärningsmännen, låt oss sätta detta i perspektiv.

Många webbplatser använder Google Analytics eller annan spårningsprogramvara, vilket hjälper till att optimera webbplatsens innehåll. Detta är standardpraxis, även om det inte är idealiskt. Men när ett team av forskare från Princeton undersökte dessa session inspelning skript, de avslöjade en helt ny nivå av spårning och företagsövervakning.

Med bara några "session replay" -skript som läggs till i koden kan webbplatser enkelt spela in varje steg. Här är ett session-svarsskript (FullStory) i aktion:

Sessioninspelning i aktion.

Låt oss nu undersöka problemen som detta skapar ...

Vad kan eventuellt gå fel?

Detta skapar uppenbarligen sekretess- och säkerhetsrisker för slutanvändaren, som omedvetet överför personuppgifter - potentiellt känslig information - till tredje parts servrar.

Forskningsrapporten sammanfattade följande risker:

Insamling av sidinnehåll av tredjeparts replay-skript kan orsaka känslig information som medicinska tillstånd, kreditkortsuppgifter och annan personlig information som visas på en sida för att läcka till tredje part som en del av inspelningen. Detta kan utsätta användare för identitetsstöld, bedrägerier på nätet och annat oönskat beteende. Detsamma gäller för insamlingen av användarinsatser under utcheckning och registreringsprocesser.

Dessutom tillåter dessa företag, som FullStory, också webbplatsägare att "länka inspelningarna de samlar till en användares verklig identitet.”

Sekretess förlorat.

När dina privata data sitter på tredjepartsservrar skapas detta ytterligare långsiktiga problem, som diskuterats i rapporten:

Slutligen är studiens författare oroliga för att sessionskriptföretag kan vara sårbara för riktade hack, särskilt för att de troligen är högvärdesmål. Till exempel har många av dessa företag instrumentpaneler där klienter kan spela upp inspelningarna de samlar in. Men Yandex-, Hotjar- och Smartlook-instrumentpanelerna kör icke-krypterade HTTP-sidor, snarare än mycket säkrare, krypterade HTTPS-sidor.

Det är också viktigt att notera att några av dessa företag tillhandahåller redigeringsverktyg. I teorin skulle dessa verktyg utesluta känslig information från att registreras och lagras på tredje parts servrar. Men forskarna fann att detta ofta inte är fallet.

Som diskuterats i rapporten:

Lösenord inkluderas ofta av misstag i inspelningar, trots att skriptet är utformade för att utesluta dem. Forskarna fann att annan personlig information ofta inte redigerades eller bara redigerades delvis, åtminstone med några av skripten.

Orsak till larm - Så inte bara spårningsskripten som spelar in varje steg, redigeringsverktygen som ska skydda känslig information fungerar inte alltid ordentligt.

Vill du att dina data raderas från dessa tredjepartsservrar?

Lycka till.

Det går inte att välja bort - men du kan blockera dessa skript, som vi kommer att täcka vidare nedan.

De skyldiga

Forskarna har släppt informationen här, som innehåller cirka 97 000 webbplatser som "bädda in skript från analysleverantörer som erbjuder sessioninspelningstjänster". De undersökte endast sju av de mest populära manuskriptet för sessioninspelning. Därför är studien inte alls uttömmande, särskilt när man överväger den breda utvidgningen inom området för spårning online.

För att se vilka VPN-webbplatser som ingick i datauppsättningen kan du ladda ner den zippade CSV-filen här.

När du granskar CSV-filen hittar du följande VPN-leverantörer och de inspelningsskript som hittades på deras webbplatser.

Obs! Sedan rapporten publicerades tidigare denna månad har de flesta av VPN: erna tagit bort skript från sessioner från sina webbplatser. Men för vissa leverantörer används skripten fortfarande:

Hemsida

Session recorder

Fortfarande i bruk?

astrill.com
hotjar
Ja

cyberghostvpn.com
hotjar
Nej

hidemyass.com
hotjar
Nej

ipvanish.com
hotjar
Nej

nordvpn.com
hotjar
Nej

purevpn.com
hotjar
Ja

safervpn.com
inspectlet
Ja

strongvpn.com
hotjar
Nej

zenmate.com
hotjar
Nej

VPN-tjänster lovar att skydda användarnas integritet, samtidigt som man använder manus för inspelning av sessioner, vilket kränker denna integritet.

Datadelning från tredje part - En annan uppenbar motsägelse här är att många av dessa VPN också hävdar att de inte delar data med tredje parter. Men som standard är dessa skript utformade för att spela in allt och skicka data till tredje parts servrar.

Därför kan användningen av sessioninspelningsskript vara bryter mot VPN: s integritetspolicy.

Ingen varning - Detta är också problematiskt eftersom användare ofta måste komma åt VPN-webbplatsen och medlemsområdet, till exempel när de laddar ner programvara, får support eller förnyar ett prenumeration. Tyvärr verkar det inte som om dessa webbplatser lämnar någon form av varning, till exempel:

”VARNING - Allt du gör spelas in och skickas till tredje parts servrar. Det finns inget sätt att välja bort. ”

Skydda dig

Spårning och datainsamling är en mycket stor och växande verksamhet. Med tanke på att det finns tusentals webbplatser som är värd för dessa skript, och inget effektivt sätt att välja bort, är den enda lösningen kvar att blockera dem.

Den ursprungliga artikeln hävdade det Adblock plus kommer att blockera alla sessionregistreringsskript som identifierats i studien. Ett annat webbläsartillägg som effektivt bör blockera dessa skript från att köras är NoScript. Och slutligen, uBlock Ursprung borde fungera också.

En annan lösning är att använda en VPN-annonsblockerare som filtrerar dessa skript och domäner på VPN-servernivå. Jag testade  funktion från  och hittade det för att effektivt blockera "hotjar" och "inspectlet" skript som nämns ovan.

Uppdatera 4 december 2017 - SaferVPN har tagit bort "inspectlet" -skriptet från deras webbplats.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me