vpn-optagelseskripts


Mange VPN'er lover at beskytte dit privatliv og sikkerhed - men hvad nu hvis deres websteder registrerede dine hver eneste bevægelse og sendte dataene til tredjepartsservere?

For nylig brød nyheder om, at nogle af verdens mest populære websteder optager:

  • alle dine tastetryk;
  • mus bevægelser;
  • rullende adfærd;
  • alt indhold, du skriver i formularer (kreditkort, adgangskoder, adresser osv.), selvom formularen ikke er indsendt;
  • og selve indholdet af siden, hvor disse oplysninger automatisk overføres til tredjepartsservere.

I det væsentlige fungerer disse sporingsskripts som en overvågningskamera - bogstaveligt talt optager hvert træk du foretager når du gennemser webstedet.

Inden vi afslører VPN-lovovertrædere, lad os sætte dette i perspektiv.

Mange websteder bruger Google Analytics eller anden sporingssoftware, som hjælper med at optimere webstedets indhold. Dette er standardpraksis, selvom det ikke er ideelt. Men når et team af forskere fra Princeton undersøgte disse session optagelse scripts, de afslørede et helt nyt niveau af tracking og virksomhedsovervågning.

Med kun et par "session replay" -skripts føjet til koden, kan websteder nemt registrere dine hvert træk. Her er et session-svar-script (FullStory) i aktion:

Session optagelse i aktion.

Lad os nu undersøge de problemer, dette skaber ...

Hvad der muligvis kunne gå galt?

Dette skaber naturligvis privatlivets fred og sikkerhedsrisici for slutbrugeren, der ubevidst overfører personlige data - potentielt følsomme data - til tredjepartsservere.

Forskningsrapporten opsummerede følgende risici:

Indsamling af sideindhold af tredjeparts replay-scripts kan medføre følsomme oplysninger, såsom medicinske tilstande, kreditkortoplysninger og andre personlige oplysninger, der vises på en side, lækker til tredjepart som en del af optagelsen. Dette kan udsætte brugere for identitetstyveri, online-svindel og anden uønsket adfærd. Det samme gælder for indsamlingen af ​​brugerinput under checkout og registreringsprocesser.

Desuden tillader disse virksomheder, såsom FullStory, også webstedsejere at "knytte de optagelser, de indsamler, til en brugers ægte identitet.”

Privatliv mistet.

Når dine private data sidder på tredjepartsservere, skaber dette yderligere langsigtede problemer, som diskuteret i rapporten:

Endelig er undersøgelsens forfattere bange for, at session-scriptfirmaer kan være sårbare over for målrettede hacks, især fordi de sandsynligvis er mål med høj værdi. For eksempel har mange af disse virksomheder dashboards, hvor klienter kan afspille de optagelser, de indsamler. Men Yandex, Hotjar og Smartlook's dashboards kører ikke-krypterede HTTP-sider snarere end meget mere sikre, krypterede HTTPS-sider.

Det er også vigtigt at bemærke, at nogle af disse virksomheder leverer redigeringsværktøjer. I teorien udelukker disse værktøjer følsomme data fra at blive optaget og gemt på tredjepartsservere. Forskerne fandt imidlertid, at dette ofte ikke er tilfældet.

Som omtalt i rapporten:

Adgangskoder inkluderes ofte ved et uheld i optagelser, på trods af at scripts er designet til at ekskludere dem. Forskerne fandt, at andre personlige oplysninger ofte ikke blev redigeret eller kun redigeret delvist, i det mindste med nogle af manuskripterne.

Årsag til alarm - Så ikke kun er sporingsskriptene, der registrerer alle dine træk, redigeringsværktøjer, der skal beskytte følsomme data, fungerer ikke altid korrekt.

Vil du have dine data slettet fra disse tredjepartsservere?

Held og lykke.

Der er ingen fravalg - men du kan blokere disse scripts, som vi vil dække yderligere nedenfor.

De skyldige

Forskerne har frigivet dataene her, som inkluderer omkring 97.000 websteder, der "integrerer scripts fra analytiske udbydere, der tilbyder sessionoptagelsestjenester". De undersøgte kun syv af de mest populære sessionoptagelseskripter. Derfor er undersøgelsen på ingen måde udtømmende, især når man overvejer den brede ekspansion inden for online tracking.

For at se, hvilke VPN-websteder der var inkluderet i datasættet, kan du downloade den zippede CSV-fil her.

Når du undersøger CSV-filen, finder du følgende VPN-udbydere og sessionoptagelseskripterne, der blev fundet på deres websteder.

Bemærk: Siden rapporten først blev offentliggjort tidligere i denne måned, har de fleste af VPN'erne fjernet scripts til sessionoptagelse fra deres websteder. Hos nogle udbydere er scripts dog stadig i brug:

Internet side

Session optager

Stadig i brug?

astrill.com
hotjar
Ja

cyberghostvpn.com
hotjar
Ingen

hidemyass.com
hotjar
Ingen

ipvanish.com
hotjar
Ingen

nordvpn.com
hotjar
Ingen

purevpn.com
hotjar
Ja

safervpn.com
inspectlet
Ja

strongvpn.com
hotjar
Ingen

zenmate.com
hotjar
Ingen

VPN-tjenester lover at beskytte brugernes privatliv, samtidig med at de bruger session-optagelseskripter, der krænker dette privatliv.

Tredjeparts datadeling - En anden åbenlys modsigelse her er, at mange af disse VPN'er også hævder at ikke dele data med tredjepart. Alligevel er disse scripts som standard designet til at registrere alt og sende dataene til tredjepartsservere.

Derfor kan brugen af ​​sessionoptagelseskripts være krænker VPN's privatlivspolitik.

Ingen advarsel - Dette er også problematisk, fordi brugere ofte har brug for at få adgang til VPN-webstedet og medlemsområdet, f.eks. Når de downloader software, får support eller forny et abonnement. Desværre ser det ikke ud til, at disse sider udsender nogen form for advarsel, såsom:

”ADVARSEL - Alt, hvad du gør, bliver optaget og sendt til tredjepartsservere. Der er ingen måde at fravælge. ”

Beskyt dig selv

Sporing og dataindsamling er en meget stor og voksende forretning. I betragtning af at der er tusinder af websteder, der er vært for disse scripts, og ingen effektiv måde at fravælge sig, er den eneste løsning, der er tilbage, at blokere dem.

Den originale artikel hævdede det Adblock Plus blokerer alle sessionskontrol-scripts, der er identificeret i undersøgelsen. En anden browser-tilføjelse, der effektivt skal blokere disse scripts fra at køre, er NoScript. Og endelig, uBlock Oprindelse skulle også fungere.

En anden løsning er at bruge en VPN-annonceblokker, der filtrerer disse scripts og domæner på VPN-serverniveau. Jeg testede  funktion fra  og fandt det effektivt at blokere "hotjar" og "inspectlet" scripterne citeret ovenfor.

Opdatering 4. december 2017 - SaferVPN har fjernet “inspectlet” scriptet fra deres websted.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me