vpn nahrávání skriptů


Mnoho sítí VPN slibuje ochranu vašeho soukromí a zabezpečení - ale co kdyby jejich webové stránky zaznamenávaly každý váš pohyb a odesílaly data na servery třetích stran?

Nedávno se objevily zprávy, že nahrávají některé z nejpopulárnějších webů na světě:

  • všechny vaše stisknutí kláves;
  • pohyby myši;
  • rolovací chování;
  • jakýkoli obsah, který zadáte do formulářů (kreditní karty, hesla, adresy atd.), i když formulář není odeslán;
  • a obsah samotné stránky, přičemž tyto informace jsou automaticky přenášeny na servery třetích stran.

V zásadě tyto sledovací skripty fungují jako sledovací kamera - doslova nahrávání každého pohybu při procházení webu.

Než odhalíme pachatele VPN, dejte to do perspektivy.

Mnoho webových stránek používá Google Analytics nebo jiný sledovací software, který pomáhá optimalizovat obsah webu. Toto je standardní praxe, i když to není ideální. Když je však tým vědců z Princetonu zkoumal skripty pro nahrávání relací, odhalili zcela novou úroveň sledování a podnikového dohledu.

S několika přidanými skripty „relačního přehrávání“ přidanými do kódu mohou webové stránky snadno zaznamenat každý váš pohyb. Zde je skript pro odpověď na relaci (FullStory) v akci:

Záznam relace v akci.

Nyní se podívejme na problémy, které to způsobuje ...

Co by se mohlo pokazit?

To zjevně vytváří soukromí a bezpečnostní rizika pro koncového uživatele, který nevědomky přenáší osobní data - potenciálně citlivá data - na servery třetích stran..

Výzkumná zpráva shrnula následující rizika:

Shromažďování obsahu stránky skripty třetích stran pro přehrávání může způsobit, že v rámci záznamu dojde k úniku citlivých informací, jako jsou zdravotní stavy, podrobnosti o kreditní kartě a další osobní informace zobrazené na stránce, na třetí stranu. To může uživatele vystavit krádeži identity, podvodům online a jinému nežádoucímu chování. Totéž platí pro shromažďování uživatelských vstupů během pokladních a registračních procesů.

Navíc tyto společnosti, jako je FullStory, také umožňují majitelům webových stránek „propojit zaznamenané nahrávky s uživateli skutečná identita.“

Ochrana osobních údajů byla ztracena.

S vašimi soukromými daty na serverech třetích stran se to dále vytváří dlouhodobé problémy, jak je uvedeno ve zprávě:

A konečně, autoři studie se obávají, že by společnosti skriptů relací mohly být zranitelné vůči cíleným hackerům, zejména proto, že jsou pravděpodobně vysoce hodnotnými cíli. Například mnoho z těchto společností má dashboardy, kde si zákazníci mohou přehrávat nahrávky, které shromažďují. Ale dashboardy Yandex, Hotjar a Smartlook provozují nešifrované stránky HTTP, nikoli mnohem bezpečnější, šifrované stránky HTTPS..

Je také důležité si uvědomit, že některé z těchto společností poskytují nástroje pro redigování. Teoreticky by tyto nástroje vylučovaly citlivá data ze zaznamenávání a ukládání na servery třetích stran. Výzkumníci však zjistili, že tomu tak často není.

Jak je uvedeno ve zprávě:

Hesla jsou často náhodně zahrnuta do nahrávek, přestože skripty jsou navrženy tak, aby je vyloučily. Vědci zjistili, že jiné osobní informace nebyly často ani redigovány, nebo pouze částečně, alespoň s některými skripty.

Příčina poplachu - Nejenže sledovací skripty zaznamenávají každý váš pohyb, ale nástroje pro redigování, které mají chránit citlivá data, nefungují vždy správně.

Chcete, aby vaše data byla vymazána z těchto serverů třetích stran?

Hodně štěstí.

Neexistuje žádné odhlášení - ale můžete zablokovat tyto skripty, které budeme dále popisovat.

Vinníci

Vědci zde zveřejnili data, která zahrnují asi 97 000 webových stránek, které „vkládají skripty od analytických poskytovatelů, kteří nabízejí služby nahrávání relací“. Prozkoumali pouze sedm z nejpopulárnějších skriptů pro nahrávání relací. Studie proto není v žádném případě vyčerpávající, zejména pokud jde o široké rozšíření v oblasti online sledování.

Chcete-li zjistit, které weby VPN byly zahrnuty do datové sady, můžete si stáhnout soubor CSV se zipem zde.

Když prozkoumáte soubor CSV, najdete následující poskytovatele VPN a skripty záznamu relací, které byly nalezeny na jejich webových stránkách.

Poznámka: od doby, kdy byla zpráva poprvé zveřejněna začátkem tohoto měsíce, většina sítí VPN ze svých webových stránek odstranila skripty záznamu relací. U některých poskytovatelů jsou však skripty stále používány:

webová stránka

Záznamník relací

Stále se používá?

astrill.com
hotjar
Ano

cyberghostvpn.com
hotjar
Ne

hidemyass.com
hotjar
Ne

ipvanish.com
hotjar
Ne

nordvpn.com
hotjar
Ne

purevpn.com
hotjar
Ano

safervpn.com
inspectlet
Ano

strongvpn.com
hotjar
Ne

zenmate.com
hotjar
Ne

Služby VPN slibují ochranu soukromí uživatelů a zároveň využívají skripty nahrávání relací, které toto soukromí porušují.

Sdílení dat třetích stran - Dalším zřejmým rozporem je, že mnoho z těchto sítí VPN také tvrdí, že data nesdílí s třetími stranami. Ve výchozím nastavení jsou však tyto skripty určeny k záznamu všeho a odesílání dat na servery třetích stran.

Proto mohou být použity skripty pro nahrávání relací porušuje zásady ochrany soukromí VPN.

Žádné varování - To je také problematické, protože uživatelé často potřebují přístup k webu VPN a členům, například při stahování softwaru, získání podpory nebo obnovení předplatného. Bohužel se nezdá, že by tyto weby vydávaly jakékoli varování, například:

„VAROVÁNÍ - Vše, co děláte, se zaznamenává a odesílá na servery třetích stran. Neexistuje způsob, jak se odhlásit. “

Chraň sebe

Sledování a sběr dat je velmi velký a rostoucí podnik. Vzhledem k tomu, že tyto skripty hostují tisíce webových stránek a neexistuje účinný způsob, jak se odhlásit, zbývá jediné řešení, jak je zablokovat..

Původní článek tvrdil, že Adblock Plus blokuje všechny skripty záznamu relací identifikované ve studii. Další doplněk prohlížeče, který by měl tyto skripty efektivně blokovat, je NoScript. A nakonec, uBlock Původ by mělo fungovat také.

Dalším řešením je použití blokátoru VPN, který tyto skripty a domény filtruje na úrovni serveru VPN. Testoval jsem  funkce od  a zjistil, že účinně blokuje výše uvedené skripty „hotjar“ a „inspectlet“.

Aktualizace 4. prosince 2017 - SaferVPN odstranil ze své webové stránky skript „inspectlet“.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me