nahrávanie skriptov vpn


Mnoho sietí VPN sľubuje ochranu vášho súkromia a bezpečnosti - ale čo keby ich webové stránky zaznamenávali každý váš pohyb a odosielali údaje na servery tretích strán?

Nedávno sa objavili správy, že nahrávajú niektoré z najpopulárnejších webových stránok na svete:

  • všetky stlačenia klávesov;
  • pohyby myši;
  • rolovacie správanie;
  • všetok obsah, ktorý zadáte do formulárov (kreditné karty, heslá, adresy atď.), aj keď formulár nie je odoslaný;
  • a obsah samotnej stránky s automatickým prenosom týchto informácií servery tretích strán.

V zásade sa tieto sledovacie skripty správajú ako sledovacia kamera - doslova nahrávanie každého pohybu pri prehliadaní webových stránok.

Skôr ako odhalíme páchateľov VPN, pozrime sa na to.

Mnoho webových stránok používa Google Analytics alebo iný sledovací softvér, ktorý pomáha optimalizovať obsah stránok. Toto je štandardná prax, aj keď to nie je ideálne. Keď ich však preskúmal tím vedcov z Princetonu skripty na zaznamenávanie relácií, odkryli úplne novú úroveň sledovania a firemného dohľadu.

Len s niekoľkými skriptmi „prehrávania relácií“ pridanými do kódu môžu webové stránky ľahko zaznamenať každý váš ťah. Tu je skript odpovede na reláciu (FullStory) v akcii:

Záznam relácie v akcii.

Pozrime sa teraz na problémy, ktoré s tým súvisia ...

Čo by sa mohlo pokaziť?

To samozrejme vytvára riziká pre súkromie a bezpečnosť pre koncového používateľa, ktorý nevedomky prenáša osobné údaje - potenciálne citlivé údaje - na servery tretích strán..

Výskumná správa zhrnula nasledujúce riziká:

Zhromažďovanie obsahu stránky skriptmi tretích strán na prehrávanie môže spôsobiť, že v rámci záznamu uniknú tretej strane citlivé informácie, napríklad zdravotný stav, podrobnosti o kreditnej karte a ďalšie osobné informácie zobrazené na stránke. To môže vystaviť používateľov krádeži identity, podvodom online a inému nežiaducemu správaniu. To isté platí pre zhromažďovanie užívateľských vstupov počas procesov pokladnice a registrácie.

Okrem toho tieto spoločnosti, ako napríklad FullStory, tiež umožňujú vlastníkom webových stránok „prepojiť zaznamenané záznamy s používateľmi skutočná identita."

Ochrana osobných údajov bola stratená.

S vašimi súkromnými údajmi na serveroch tretích strán sa to ďalej vytvára dlhodobé problémy, ako sa uvádza v správe:

Autori štúdie sa napokon obávajú, že spoločnosti zaoberajúce sa skriptami relácií môžu byť voči cieleným hackerom zraniteľné, najmä preto, že sú to pravdepodobne vysoko hodnotné ciele. Napríklad mnoho z týchto spoločností má dashboardy, kde si zákazníci môžu prehrávať zaznamenané nahrávky. Prístrojové panely Yandex, Hotjar a Smartlook však používajú nešifrované stránky HTTP, a nie oveľa bezpečnejšie šifrované stránky HTTPS..

Je tiež dôležité poznamenať, že niektoré z týchto spoločností poskytujú nástroje na redigovanie. Teoreticky by tieto nástroje vylúčili zaznamenávanie a ukladanie citlivých údajov na servery tretích strán. Vedci však zistili, že tomu tak často nie je.

Ako sa uvádza v správe:

Heslá sú často náhodne zahrnuté do záznamov, aj keď skripty sú určené na ich vylúčenie. Vedci zistili, že iné osobné informácie neboli často redigované alebo iba čiastočne, aspoň s niektorými skriptami..

Príčina alarmu - Nielenže sledovacie skripty zaznamenávajú každý váš pohyb, ale nástroje redigovania, ktoré majú chrániť citlivé údaje, nefungujú vždy správne.

Chcete, aby boli vaše údaje vymazané z týchto serverov tretích strán?

Veľa štastia.

Neexistuje žiadna možnosť deaktivácie - tieto skripty však môžete zablokovať, ktoré sa budeme venovať nižšie.

Vinníci

Vedci tu zverejnili údaje, ktoré zahŕňajú asi 97 000 webových stránok, ktoré „vkladajú skripty od poskytovateľov analytických služieb, ktoré ponúkajú služby zaznamenávania relácií“. Preskúmali iba sedem najpopulárnejších skriptov na nahrávanie relácií. Štúdia preto nie je v žiadnom prípade vyčerpávajúca, najmä pri zvažovaní rozsiahlej expanzie v oblasti online sledovania.

Ak chcete zistiť, ktoré webové stránky VPN boli zahrnuté do množiny údajov, môžete si stiahnuť súbor CSV so zipsom tu.

Pri skúmaní súboru CSV nájdete nasledujúcich poskytovateľov VPN a skripty na zaznamenávanie relácií, ktoré sa našli na ich webových stránkach.

Poznámka: Keďže správa bola prvýkrát uverejnená začiatkom tohto mesiaca, väčšina sietí VPN zo svojich webových stránok odstránila skripty na zaznamenávanie relácií. U niektorých poskytovateľov sa však skripty stále používajú:

webové stránky

Záznamník relácií

Stále sa používa?

astrill.com
hotjar
Áno

cyberghostvpn.com
hotjar
žiadny

hidemyass.com
hotjar
žiadny

ipvanish.com
hotjar
žiadny

nordvpn.com
hotjar
žiadny

purevpn.com
hotjar
Áno

safervpn.com
inspectlet
Áno

strongvpn.com
hotjar
žiadny

zenmate.com
hotjar
žiadny

Služby VPN sľubujú ochranu súkromia používateľov a zároveň využívajú skripty na zaznamenávanie relácií, čo toto súkromie porušuje.

Zdieľanie údajov tretích strán - Ďalším zjavným rozporom je, že mnohé z týchto sietí VPN tiež tvrdia, že nezdieľajú údaje s tretími stranami. Tieto skripty sú v predvolenom nastavení navrhnuté tak, aby zaznamenávali všetko a odosielali údaje na servery tretích strán.

Preto sa môžu používať skripty na zaznamenávanie relácií porušujú zásady ochrany osobných údajov VPN.

Žiadne varovanie - Je to tiež problematické, pretože používatelia často potrebujú prístup na webovú stránku VPN a oblasť členov, napríklad pri sťahovaní softvéru, získaní podpory alebo obnovení prihlásenia na odber. Žiaľ, nezdá sa, že by tieto stránky vydávali akékoľvek varovania, napríklad:

„VAROVANIE - Všetko, čo robíte, sa zaznamenáva a odosiela na servery tretích strán. Neexistuje spôsob, ako sa odhlásiť. “

Chráň sa

Sledovanie a zber údajov je veľmi veľký a rastúci podnik. Vzhľadom na to, že tieto skripty hostia tisíce webových stránok a neexistuje efektívny spôsob, ako sa odhlásiť, zostáva jediným riešením ich zablokovanie..

Pôvodný článok tvrdil, že Adblock Plus blokuje všetky skripty zaznamenávajúce relácie identifikované v štúdii. Ďalší doplnok prehliadača, ktorý by mal tieto skripty účinne blokovať, je NoScript. A nakoniec, uBlock Pôvod by malo fungovať rovnako.

Ďalším riešením je použitie blokátora VPN, ktorý filtruje tieto skripty a domény na úrovni servera VPN. Testoval som  funkcie z  a zistil, že účinne blokuje vyššie uvedené skripty „hotjar“ a „inspectlet“.

Aktualizácia 4. decembra 2017 - SaferVPN odstránil zo svojej webovej stránky skript „Inspectlet“.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me