vpn aufnahmeskripte


Viele VPNs versprechen, Ihre Privatsphäre und Sicherheit zu schützen - aber was wäre, wenn ihre Websites jeden Ihrer Schritte aufzeichnen und die Daten an Server von Drittanbietern senden würden?

Kürzlich wurde bekannt, dass einige der beliebtesten Websites der Welt Folgendes aufzeichnen:

  • alle Ihre Tastenanschläge;
  • Mausbewegungen;
  • Scrollverhalten;
  • Inhalte, die Sie in Formulare eingeben (Kreditkarten, Passwörter, Adressen usw.), auch wenn das Formular nicht gesendet wird;
  • und den Inhalt der Seite selbst, wobei diese Informationen automatisch an übermittelt werden Server von Drittanbietern.

Im Wesentlichen verhalten sich diese Tracking-Skripte wie a Überwachungskamera - buchstäblich Aufzeichnung jeder Bewegung, die Sie machen wie Sie die Website durchsuchen.

Bevor wir die VPN-Täter aufdecken, sollten wir dies in die richtige Perspektive rücken.

Viele Websites verwenden Google Analytics oder eine andere Tracking-Software, mit deren Hilfe der Inhalt der Website optimiert werden kann. Dies ist die übliche Praxis, auch wenn sie nicht ideal ist. Als jedoch ein Forscherteam aus Princeton diese untersuchte Sitzungsaufzeichnungsskripte, Sie deckten eine völlig neue Ebene der Verfolgung und Unternehmensüberwachung auf.

Mit nur wenigen Skripten zur „Sitzungswiederholung“, die dem Code hinzugefügt wurden, können Websites auf einfache Weise jede Bewegung aufzeichnen. Hier ist ein Sitzungsantwortskript (FullStory) in Aktion:

Sitzungsaufzeichnung in Aktion.

Lassen Sie uns nun die Probleme untersuchen, die dadurch entstehen ...

Was könnte möglicherweise falsch laufen?

Dies schafft offensichtlich Datenschutz- und Sicherheitsrisiken für den Endbenutzer, der unwissentlich personenbezogene Daten - potenziell sensible Daten - an Server von Drittanbietern überträgt.

Der Forschungsbericht fasste folgende Risiken zusammen:

Das Sammeln von Seiteninhalten durch Wiedergabeskripte von Drittanbietern kann dazu führen, dass vertrauliche Informationen, wie z. B. Erkrankungen, Kreditkartendaten und andere auf einer Seite angezeigte persönliche Informationen, im Rahmen der Aufzeichnung an den Drittanbieter weitergegeben werden. Dadurch können Benutzer Identitätsdiebstahl, Online-Betrug und anderem unerwünschtem Verhalten ausgesetzt werden. Gleiches gilt für die Erfassung von Benutzereingaben während des Checkout- und Registrierungsprozesses.

Darüber hinaus ermöglichen diese Unternehmen, wie beispielsweise FullStory, Website-Eigentümern, "die von ihnen gesammelten Aufzeichnungen mit den Aufzeichnungen eines Nutzers zu verknüpfen" wahre Identität."

Privatsphäre verloren.

Wenn Ihre privaten Daten auf Servern von Drittanbietern gespeichert sind, wird dies weiter erhöht langfristige Probleme, wie im Bericht besprochen:

Schließlich sind die Autoren der Studie besorgt, dass Sitzungsskriptfirmen für gezielte Hacks anfällig sein könnten, insbesondere, weil es sich wahrscheinlich um hochwertige Ziele handelt. Beispielsweise verfügen viele dieser Unternehmen über Dashboards, in denen Kunden die von ihnen gesammelten Aufzeichnungen wiedergeben können. In den Dashboards von Yandex, Hotjar und Smartlook werden jedoch nicht verschlüsselte HTTP-Seiten ausgeführt, sondern viel sicherere, verschlüsselte HTTPS-Seiten.

Es ist auch wichtig zu beachten, dass einige dieser Unternehmen Redaktionstools bereitstellen. Theoretisch würden diese Tools vertrauliche Daten von der Aufzeichnung und Speicherung auf Servern von Drittanbietern ausschließen. Die Forscher stellten jedoch fest, dass dies häufig nicht der Fall ist.

Wie im Bericht besprochen:

Passwörter werden häufig versehentlich in Aufzeichnungen eingeschlossen, obwohl die Skripte so konzipiert sind, dass sie diese ausschließen. Die Forscher stellten fest, dass andere personenbezogene Daten zumindest bei einigen Skripten häufig nicht oder nur teilweise redigiert wurden.

Grund zur Besorgnis - Die Tracking-Skripte zeichnen also nicht nur jede Bewegung auf, sondern auch die Redaktionswerkzeuge, die sensible Daten schützen sollen, funktionieren nicht immer ordnungsgemäß.

Möchten Sie Ihre Daten von diesen Fremdanbieterservern löschen lassen??

Viel Glück.

Es gibt kein Opt-Out, aber Sie können diese Skripte blockieren, auf die weiter unten eingegangen wird.

Die Schuldigen

Die Forscher haben die Daten hier veröffentlicht, darunter etwa 97.000 Websites, auf denen "Skripte von Analytics-Anbietern eingebettet sind, die Sitzungsaufzeichnungsdienste anbieten". Sie untersuchten nur sieben der beliebtesten Sitzungsaufzeichnungsskripte. Die Studie ist daher keineswegs erschöpfend, insbesondere wenn man die breite Ausweitung im Bereich des Online-Trackings berücksichtigt.

Um zu sehen, welche VPN-Websites im Datensatz enthalten waren, können Sie die gezippte CSV-Datei hier herunterladen.

Wenn Sie die CSV-Datei untersuchen, finden Sie die folgenden VPN-Anbieter und die Sitzungsaufzeichnungsskripte, die auf ihren Websites gefunden wurden.

Hinweis: Seit der Veröffentlichung des Berichts Anfang dieses Monats haben die meisten VPNs die Sitzungsaufzeichnungsskripte von ihren Websites entfernt. Bei einigen Anbietern werden die Skripte jedoch noch verwendet:

Webseite

Sitzungsaufzeichnung

Wird noch verwendet?

astrill.com
hotjar
Ja

cyberghostvpn.com
hotjar
Nein

hidemyass.com
hotjar
Nein

ipvanish.com
hotjar
Nein

nordvpn.com
hotjar
Nein

purevpn.com
hotjar
Ja

safervpn.com
inspectlet
Ja

strongvpn.com
hotjar
Nein

zenmate.com
hotjar
Nein

VPN-Dienste sind vielversprechend, um die Privatsphäre der Benutzer zu schützen und gleichzeitig Sitzungsaufzeichnungsskripte zu verwenden, die diese Privatsphäre verletzen.

Datenaustausch mit Dritten - Ein weiterer offensichtlicher Widerspruch besteht darin, dass viele dieser VPNs auch behaupten, Daten nicht an Dritte weiterzugeben. Standardmäßig zeichnen diese Skripte jedoch alles auf und senden die Daten an Server von Drittanbietern.

Daher kann die Verwendung von Sitzungsaufzeichnungsskripten sein gegen die Datenschutzbestimmungen des VPN verstoßen.

Keine Warnung - Dies ist auch problematisch, da Benutzer häufig auf die VPN-Website und den Mitgliederbereich zugreifen müssen, z. B. beim Herunterladen von Software, beim Abrufen von Support oder beim Erneuern eines Abonnements. Leider scheint es nicht so zu sein, dass diese Websites Warnungen ausgeben, wie zum Beispiel:

„WARNUNG - Alles, was Sie tun, wird aufgezeichnet und an Server von Drittanbietern gesendet. Es gibt keine Möglichkeit, sich abzumelden. “

Schütze dich selbst

Tracking und Datenerfassung sind ein sehr großes und wachsendes Geschäft. Angesichts der Tatsache, dass es Tausende von Websites gibt, auf denen diese Skripte gehostet werden, und dass es keinen wirksamen Ausweg gibt, besteht die einzige verbleibende Lösung darin, sie zu blockieren.

Der ursprüngliche Artikel behauptete das Adblock Plus blockiert alle in der Studie identifizierten Sitzungsaufzeichnungsskripten. Ein weiteres Browser-Add-On, das die Ausführung dieser Skripte effektiv blockieren sollte, ist NoScript. Und schlussendlich, uBlock Origin sollte auch funktionieren.

Eine andere Lösung ist die Verwendung eines VPN-Werbeblockers, der diese Skripte und Domänen auf VPN-Serverebene filtert. Ich habe das getestet  Feature von  und stellte fest, dass es die oben genannten Skripte "hotjar" und "inspectlet" effektiv blockiert.

Update 4. Dezember 2017 - SaferVPN hat das "Inspectlet" -Skript von seiner Website entfernt.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me