vpn opnamescripts


Veel VPN's beloven uw privacy en veiligheid te beschermen - maar wat als hun websites elke beweging zouden opnemen en de gegevens naar servers van derden zouden verzenden?

Onlangs kwam er nieuws dat enkele van 's werelds populairste websites opnemen:

  • al uw toetsaanslagen;
  • muis bewegingen;
  • schuifgedrag;
  • alle inhoud die u in formulieren typt (creditcards, wachtwoorden, adressen, enz.), zelfs als het formulier niet is verzonden;
  • en de inhoud van de pagina zelf, waarbij deze informatie automatisch wordt doorgestuurd naar servers van derden.

In wezen werken deze trackingscripts als een beveiligingscamera - letterlijk opnemen van elke beweging die u maakt terwijl u door de website bladert.

Voordat we de VPN-overtreders openbaar maken, laten we dit in perspectief plaatsen.

Veel websites maken gebruik van Google Analytics of andere trackingsoftware, die helpt de inhoud van de site te optimaliseren. Dit is standaardpraktijk, hoewel het niet ideaal is. Toen een team van onderzoekers van Princeton deze echter onderzochten sessie opname scripts, ze ontdekten een geheel nieuw niveau van tracking en bedrijfsbewaking.

Met slechts een paar "sessie opnieuw afspelen" -scripts aan de code toegevoegd, kunnen websites eenvoudig elke beweging vastleggen. Hier is een sessie-antwoordscript (FullStory) in actie:

Sessie-opname in actie.

Laten we nu eens kijken naar de problemen die dit veroorzaakt ...

Wat zou er mis kunnen gaan?

Dit creëert uiteraard privacy- en beveiligingsrisico's voor de eindgebruiker, die onbewust persoonlijke gegevens - mogelijk gevoelige gegevens - naar servers van derden verzendt.

Het onderzoeksrapport vatte de volgende risico's samen:

Het verzamelen van pagina-inhoud door replay-scripts van derden kan ervoor zorgen dat gevoelige informatie zoals medische aandoeningen, creditcardgegevens en andere persoonlijke informatie die op een pagina wordt weergegeven, naar de derde partij lekt als onderdeel van de opname. Dit kan gebruikers blootstellen aan identiteitsdiefstal, online oplichting en ander ongewenst gedrag. Hetzelfde geldt voor het verzamelen van gebruikersinvoer tijdens het afrekenen en het registratieproces.

Bovendien staan ​​deze bedrijven, zoals FullStory, ook website-eigenaren toe om "de opnames die ze verzamelen te koppelen aan die van een gebruiker echte identiteit.”

Privacy verloren.

Met uw privégegevens op servers van derden, wordt dit verder gecreëerd langdurige problemen, zoals besproken in het rapport:

Ten slotte maken de auteurs van het onderzoek zich zorgen dat sessiescriptbedrijven kwetsbaar kunnen zijn voor gerichte hacks, vooral omdat ze waarschijnlijk waardevolle doelen zijn. Veel van deze bedrijven hebben bijvoorbeeld dashboards waar klanten de opnames die ze verzamelen kunnen afspelen. Maar de dashboards van Yandex, Hotjar en Smartlook voeren niet-gecodeerde HTTP-pagina's uit in plaats van veel veiligere, gecodeerde HTTPS-pagina's.

Het is ook belangrijk op te merken dat sommige van deze bedrijven redactietools bieden. In theorie zouden deze tools gevoelige gegevens uitsluiten van opname en opslag op servers van derden. De onderzoekers ontdekten echter dat dit vaak niet het geval is.

Zoals besproken in het rapport:

Wachtwoorden worden vaak per ongeluk in opnames opgenomen, ondanks dat de scripts zijn ontworpen om ze uit te sluiten. De onderzoekers ontdekten dat andere persoonlijke informatie ook vaak niet of slechts gedeeltelijk werd bewerkt, althans met sommige van de scripts.

Oorzaak voor alarm - Dus niet alleen registreren de trackingscripts elke beweging, de redactietools die gevoelige gegevens moeten beschermen, werken niet altijd goed.

Wilt u uw gegevens van deze externe servers laten wissen??

Succes.

Er is geen opt-out, maar u kunt deze scripts blokkeren, die we hieronder verder zullen bespreken.

De daders

De onderzoekers hebben de gegevens hier vrijgegeven, waaronder ongeveer 97.000 websites die "scripts insluiten van analyseproviders die sessie-opnameservices aanbieden". Ze onderzochten slechts zeven van de meest populaire sessie-opnamescripts. Daarom is het onderzoek geenszins uitputtend, vooral niet gezien de brede uitbreiding op het gebied van online tracking.

Om te zien welke VPN-websites in de gegevensset zijn opgenomen, kunt u het gecomprimeerde CSV-bestand hier downloaden.

Wanneer u het CSV-bestand onderzoekt, vindt u de volgende VPN-providers en de sessie-opnamescripts die op hun websites zijn gevonden.

Opmerking: sinds het rapport eerder deze maand werd gepubliceerd, hebben de meeste VPN's de sessie-opnamescripts van hun websites verwijderd. Bij sommige providers worden de scripts echter nog steeds gebruikt:

Website

Sessie recorder

Nog steeds in gebruik?

astrill.com
hotjar
Ja

cyberghostvpn.com
hotjar
Nee

hidemyass.com
hotjar
Nee

ipvanish.com
hotjar
Nee

nordvpn.com
hotjar
Nee

purevpn.com
hotjar
Ja

safervpn.com
inspectlet
Ja

strongvpn.com
hotjar
Nee

zenmate.com
hotjar
Nee

VPN-services zijn veelbelovend om de privacy van gebruikers te beschermen en tegelijkertijd sessieopnamescripts te gebruiken, wat deze privacy schendt.

Gegevensuitwisseling door derden - Een andere voor de hand liggende tegenstelling is dat veel van deze VPN's ook beweren dat ze geen gegevens delen met derden. Standaard zijn deze scripts echter ontworpen om alles vast te leggen en de gegevens naar servers van derden te verzenden.

Daarom kan het gebruik van sessie-opnamescripts zijn schending van het privacybeleid van de VPN.

Geen waarschuwing - Dit is ook problematisch omdat gebruikers vaak toegang moeten hebben tot de VPN-website en het ledengedeelte, zoals bij het downloaden van software, ondersteuning krijgen of een abonnement verlengen. Helaas lijkt het erop dat deze sites geen enkele vorm van waarschuwing afgeven, zoals:

“WAARSCHUWING - Alles wat u doet wordt opgenomen en verzonden naar servers van derden. Er is geen manier om u af te melden. '

Bescherm jezelf

Tracking en gegevensverzameling is een zeer groot en groeiend bedrijf. Gezien het feit dat er duizenden websites zijn die deze scripts hosten en er geen effectieve manier is om u af te melden, is de enige oplossing om ze te blokkeren.

Het oorspronkelijke artikel beweerde dat Adblock Plus blokkeert alle sessie-opnamescripts die in het onderzoek zijn geïdentificeerd. Een andere browser-add-on die deze scripts effectief zou moeten blokkeren is NoScript. En tenslotte, uBlock Origin zou ook moeten werken.

Een andere oplossing is om een ​​VPN-adblocker te gebruiken die deze scripts en domeinen op VPN-serverniveau filtert. Ik testte de  functie van  en vond het om de hierboven genoemde "hotjar" en "inspectlet" scripts effectief te blokkeren.

Update 4 december 2017 - SaferVPN heeft het "inspectlet" -script van hun website verwijderd.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me