Shutterstock / Σύνθεση: Louise Matsakis
To άρθρο δημοσιεύτηκε αρχικά στο Motherboard.Οι περισσότεροι άνθρωποι που έχουν περάσει χρόνο στο Διαδίκτυο, γνωρίζουν ότι πολλοί ιστότοποι καταγράφουν τις επισκέψεις τους και κρατούν αρχεία από τις σελίδες στις οποίες περιηγήθηκαν. Όταν ψάχνεις ένα ζευγάρι παπούτσια στην ιστοσελίδα κάποιου καταστήματος, για παράδειγμα, εκείνη καταγράφει το ενδιαφέρον σου για αυτό. Την επόμενη μέρα, βλέπεις μια διαφήμιση για το ίδιο ζευγάρι στο Instagram ή σε κάποια άλλη ιστοσελίδα κοινωνικής δικτύωσης.Η παρακολούθηση των χρηστών από τους ιστότοπους δεν είναι κάτι καινούργιο, όμως σύμφωνα με έρευνα του Πανεπιστημίου Πρίστον, η οποία δημοσιεύτηκε την περασμένη εβδομάδα, η ηλεκτρονική παρακολούθηση είναι πολύ πιο επεμβατική από όσο πιστεύουν οι περισσότεροι χρήστες. Στο πρώτο σκέλος μιας σειράς με τίτλο «No Boundaries», τρεις ερευνητές από το Κέντρο Πολιτικής για την Τεχνολογία Πληροφορικής του Princeton (CITP) εξηγούν πώς τα third-party script (δηλαδή script τρίτων εταιρειών) τα οποία είναι εγκαταστημένα σε πολλούς από τους δημοφιλέστερους ιστότοπους του κόσμου, παρακολουθούν κάθε σου πληκτρολόγηση και στη συνέχεια στέλνουν αυτές τις πληροφορίες σε έναν third-party server.Αυτά τα script (προγράμματα ή σειρά εντολών για ένα άλλο πρόγραμμα και όχι για τον κεντρικό επεξεργαστή), τα οποία αποτελούν τμήματα του κώδικα των ιστοσελίδων, ονομάζονται session replay script (script επανάληψης συνεδρίας). Τα session replay script χρησιμοποιούνται από εταιρείες, οι οποίες θέλουν να αποκτήσουν πληροφορίες για τον τρόπο που χρησιμοποιούν οι χρήστες τα site τους και να εντοπίσουν ιστοσελίδες που προκαλούν προβλήματα. Όμως, αυτά τα script δεν συγκεντρώνουν μόνο γενικά στατιστικά στοιχεία, αλλά καταγράφουν και είναι σε θέση να αναπαράγουν ξεχωριστές συνεδρίες περιήγησης. Τα script δεν εκτελούνται σε κάθε ιστοσελίδα, όμως συχνά η εγκατάστασή τους γίνεται σε σελίδες στις οποίες οι χρήστες εισάγουν ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης και ιατρικές παθήσεις.Για τη διεξαγωγή της έρευνάς τους, οι Englehardt, Gunes Acar και Arvind Narayanan εξέτασαν επτά από τις πιο δημοφιλείς εταιρείες αναπαραγωγής συνεδριών, συμπεριλαμβανομένης της FullStory, της SessionCam, της Clicktale, της Smartlook, της UserReplay, της Hotjar και της δημοφιλέστερης μηχανής αναζήτησης στη Ρωσία, της Yandex. Δημιούργησαν δοκιμαστικές σελίδες και εγκατέστησαν session replay script, έξι εκ των επτά εταιρειών. Τα ευρήματά τους έδειξαν ότι τουλάχιστον ένα από αυτά τα εταιρικά script χρησιμοποιείται από 482 από τις κορυφαίες 50.000 ιστοσελίδες του κόσμου, με βάση την κατάταξη του Alexa.Η Bonobos δεν απάντησε στο αίτημά μας για κάποιο σχόλιο, όμως η εταιρεία είπε στο Wired ότι «τερματίσαμε την κοινοποίηση δεδομένων στη FullStory, προκειμένου να αξιολογήσουμε τα πρωτόκολλα και τις λειτουργίες των υπηρεσιών μας. Αξιολογούμε και αναβαθμίζουμε συνεχώς τα συστήματα και τις διαδικασίες μας, ώστε να προστατεύσουμε τα δεδομένα των πελατών μας».
[VICE Video] Μια Περιήγηση στον Σκοτεινό Κόσμο του Deep Web
Παρακολουθήστε όλα τα βίντεo του VICE, μέσω της νέας σελίδας VICE Video Greece στο Facebook.
Η Fidelity δεν δήλωσε ότι θα σταματήσει να χρησιμοποιεί session replay script. «Δεν σχολιάζουμε τις σχέσεις (sic) που έχουμε με τους πωλητές ή τις εταιρείες, αλλά μία από τις βασικότερες προτεραιότητές μας είναι η προστασία των πληροφοριών των πελατών», δήλωσε εκπρόσωπος σε ανακοίνωση της εταιρείας.Οι εταιρείες που πωλούν replay script προσφέρουν μια σειρά από redaction tool, τα οποία επιτρέπουν στις ιστοσελίδες να αποφεύγουν την καταγραφή ευαίσθητων δεδομένων, ενώ ορισμένες από αυτές απαγορεύουν ρητά τη συλλογή δεδομένων των χρηστών. Παρόλα αυτά, η χρήση των session replay script από τόσους δημοφιλείς ιστότοπους έχει σοβαρές επιπτώσεις στην ιδιωτική ζωή.«Η συλλογή περιεχομένου ιστοσελίδων από third-party replay script ενδέχεται να οδηγήσει στη διαρροή ευαίσθητων δεδομένων, όπως πληροφοριών που αφορούν ιατρικά προβλήματα, στοιχεία πιστωτικών καρτών και άλλων προσωπικών στοιχείων που εμφανίζονται σε μια ιστοσελίδα, οι οποίες μπορεί να γίνουν διαθέσιμες σε τρίτη εταιρεία, καθώς αποτελούν τμήμα της καταγραφής», έγραψαν σε ανάρτησή τους οι ερευνητές.
ΔΙΑΦΗΜΙΣΗ
Ορισμένοι ιστότοποι με μεγάλη επισκεψιμότητα χρησιμοποιούν λογισμικό που καταγράφει κάθε κλικ και κάθε λέξη που πληκτρολογείς. Εάν επισκεφτείς μια ιστοσελίδα, ξεκινήσεις να συμπληρώνεις μια φόρμα και στη συνέχεια την εγκαταλείψεις, κάθε γράμμα που καταχώρισες εξακολουθεί να είναι καταγεγραμμένο, σύμφωνα με τα ευρήματα της έρευνας. Αν επικολλήσεις κατά λάθος σε μια φόρμα κάτι το οποίο αντέγραψες από το clipboard, τότε και αυτό θα καταγραφεί. Οι χρήστες του Facebook εξοργίστηκαν το 2013, όταν ανακαλύφθηκε ότι η πλατφόρμα κοινωνικής δικτύωσης έκανε κάτι παρόμοιο με τις ενημερώσεις του status – κατέγραφε ό,τι είχαν πληκτρολογήσει οι χρήστες, ακόμη και αν δεν το αναρτούσαν ποτέ.Διαβάστε ακόμη: Τα 13 πιο Χρήσιμα Kόλπα για να Βελτιώσεις την Εμπειρία του Netflix
ΔΙΑΦΗΜΙΣΗ
Είναι δύσκολο για τον χρήστη να καταλάβει τι συμβαίνει, «εκτός και αν ξεψαχνίσει την πολιτική απορρήτου», μου είπε τηλεφωνικά ο Steve Englehardt, ένας από τους ερευνητές της μελέτης. «Απλώς χαίρομαι που οι χρήστες θα μάθουν ό,τι συμβαίνει».Στο παρακάτω βίντεο μπορείτε να δείτε τι μπορεί να καταγράψει ένα session replay script της εταιρείας FullStory:Είναι πιθανό ότι τα script δεν καταγράφουν κάθε χρήστη που επισκέπτεται μια ιστοσελίδα.
«Είναι παράλογο να περιμένει κανείς ότι οι πληροφορίες που συλλέγουν τα session replay script θα παραμείνουν ανώνυμες», σύμφωνα με τους ερευνητές. Μερικές από τις εταιρείες που παρέχουν αυτό το λογισμικό, όπως η FullStory, σχεδιάζουν script παρακολούθησης που επιτρέπουν στους ιδιοκτήτες των ιστότοπων ακόμη και να συνδέουν τα στοιχεία που καταγράφουν με την πραγματική ταυτότητα του χρήστη. Στο σύστημα υποστήριξης, οι εταιρείες μπορούν να δουν ότι ένας χρήστης συνδέεται με ένα συγκεκριμένο email ή όνομα. Η FullStory δεν ανταποκρίθηκε στο αίτημά μας για σχολιασμό.
ΔΙΑΦΗΜΙΣΗ
Οι διακεκριμένες εταιρείες που χρησιμοποιούν τα script συμπεριλαμβάνουν το κατάστημα πώλησης ανδρικού ρουχισμού Bonobos.com, το Walgreens.com και την επενδυτική εταιρεία Fidelity.com. Επίσης αξίζει να σημειωθεί ότι ο αριθμός 482 ενδέχεται να είναι μια χαμηλή εκτίμηση. Είναι πιθανό ότι τα script δεν καταγράφουν κάθε χρήστη που επισκέπτεται μια ιστοσελίδα, όπως μου είπαν οι ερευνητές. Όταν, λοιπόν, έκαναν τις δοκιμές, πιθανότατα να μην εντόπισαν κάποια script, επειδή δεν ήταν ενεργοποιημένα. Μπορείτε να δείτε όλους τους δημοφιλείς ιστότοπους που χρησιμοποιούν session replay script, τους οποίους κατέγραψαν οι ερευνητές, εδώ.Από τότε που οι ερευνητές του Πρίνστον δημοσίευσαν την έρευνά τους, τόσο η Bonobos όσο και η Walgreens δήλωσαν ότι θα σταματήσουν να χρησιμοποιούν session replay script. «Λαμβάνουμε πολύ σοβαρά υπόψη την προστασία των δεδομένων των πελατών μας και εξετάζουμε τους ισχυρισμούς της έρευνας που δημοσιεύτηκε χθες. Καθώς διερευνούμε τους προβληματισμούς που ανέκυψαν και θέλοντας να πάρουμε κάθε δυνατή προφύλαξη, σταματήσαμε να μοιραζόμαστε δεδομένα με τη FullStory», μου είπε ένας εκπρόσωπος της Walgreens μέσω email.Η χρήση των session replay script από τόσους δημοφιλείς ιστότοπους έχει σοβαρές επιπτώσεις στην ιδιωτική ζωή.
ΔΙΑΦΗΜΙΣΗ
[VICE Video] Μια Περιήγηση στον Σκοτεινό Κόσμο του Deep Web
Η Fidelity δεν δήλωσε ότι θα σταματήσει να χρησιμοποιεί session replay script. «Δεν σχολιάζουμε τις σχέσεις (sic) που έχουμε με τους πωλητές ή τις εταιρείες, αλλά μία από τις βασικότερες προτεραιότητές μας είναι η προστασία των πληροφοριών των πελατών», δήλωσε εκπρόσωπος σε ανακοίνωση της εταιρείας.Οι εταιρείες που πωλούν replay script προσφέρουν μια σειρά από redaction tool, τα οποία επιτρέπουν στις ιστοσελίδες να αποφεύγουν την καταγραφή ευαίσθητων δεδομένων, ενώ ορισμένες από αυτές απαγορεύουν ρητά τη συλλογή δεδομένων των χρηστών. Παρόλα αυτά, η χρήση των session replay script από τόσους δημοφιλείς ιστότοπους έχει σοβαρές επιπτώσεις στην ιδιωτική ζωή.«Η συλλογή περιεχομένου ιστοσελίδων από third-party replay script ενδέχεται να οδηγήσει στη διαρροή ευαίσθητων δεδομένων, όπως πληροφοριών που αφορούν ιατρικά προβλήματα, στοιχεία πιστωτικών καρτών και άλλων προσωπικών στοιχείων που εμφανίζονται σε μια ιστοσελίδα, οι οποίες μπορεί να γίνουν διαθέσιμες σε τρίτη εταιρεία, καθώς αποτελούν τμήμα της καταγραφής», έγραψαν σε ανάρτησή τους οι ερευνητές.
ΔΙΑΦΗΜΙΣΗ
Οι κωδικοί πρόσβασης συχνά συμπεριλαμβάνονται εκ παραδρομής στις καταγραφές, παρά το γεγονός ότι τα script έχουν σχεδιαστεί για να τους παραλείπουν. Οι ερευνητές διαπίστωσαν ότι και άλλες προσωπικές πληροφορίες συχνά δεν παραλείπονται ή συμπεριλαμβάνονται, μερικώς τουλάχιστον, σε κάποια από τα scripts. Δύο από τις εταιρείες, η UserReplay και η SessionCam, μπλοκάρουν αυτόματα όλα τα δεδομένα που εισάγουν οι χρήστες (παρακολουθούν απλώς πού κάνουν κλικ οι χρήστες), κάτι που αποτελεί μια πολύ ασφαλέστερη προσέγγιση.Δεν είναι, όμως, μόνο τα δεδομένα που εισάγουν οι χρήστες που έχουν σημασία. Όταν συνδέεσαι σε έναν ιστότοπο, οι πληροφορίες που εμφανίζονται στην οθόνη μπορεί επίσης να είναι ευαίσθητες. Οι ερευνητές διαπίστωσαν ότι «καμία από τις εταιρείες δεν φαίνεται να παρέχει προεπιλεγμένη αυτοματοποιημένη επεξεργασία του περιεχομένου που εμφανίζεται. Το περιεχόμενο αυτό καταλήγει να διαρρέει στο σύνολό του».Για παράδειγμα, οι ερευνητές έλεγξαν τη Walgreens.com, η οποία έτρεχε ένα script της εταιρείας FullStory. Παρά το γεγονός ότι η Walgreens χρησιμοποιεί ορισμένες από τις λειτουργίες αφαίρεσης περιεχομένου που προσφέρει η FullStory, διαπίστωσαν ότι πληροφορίες που αφορούν ιατρικές παθήσεις και φαρμακευτικές συνταγές εξακολουθούν να συλλέγονται από το session replay script, παράλληλα με τα πραγματικά ονόματα των χρηστών.Οι συντάκτες της έρευνας ανησυχούν ότι οι εταιρείες παροχής session script μπορεί να είναι ευάλωτες σε στοχευμένες κυβερνοεπιθέσεις.
ΔΙΑΦΗΜΙΣΗ
Τέλος, οι συντάκτες της έρευνας ανησυχούν ότι οι εταιρείες παροχής session script μπορεί να είναι ευάλωτες σε στοχευμένες κυβερνοεπιθέσεις, ειδικά από τη στιγμή που αποτελούν στόχους υψηλής αξίας.Δεν είναι, όμως, μόνο τα session script που σε παρακολουθούν στο Ίντερνετ. Σε έρευνα που δημοσιεύτηκε νωρίτερα μέσα στη χρονιά, διαπιστώθηκε ότι σχεδόν οι μισές εκ των δημοφιλέστερων ιστοσελίδων του κόσμου χρησιμοποιούν το ίδιο λογισμικό παρακολούθησης, προκειμένου να καταγράφουν τη συμπεριφορά σου με διάφορους τρόπους.Αν θέλετε να μπλοκάρετε τα session replay scripts το δημοφιλές εργαλείο αποκλεισμού διαφημίσεων AdBlock Plus μπορεί πλέον να σας προστατεύσει από όλα τα script που δημοσιεύτηκαν στην έρευνα του Πρίνστον. Το AdBlock Plus παλιότερα μπορούσε να παρέχει προστασία μόνο απέναντι σε κάποια από αυτά τα scripts, όμως πλέον έχει αναβαθμιστεί και τα μπλοκάρει όλα, λόγω της έρευνας που διεξήχθη.Περισσότερα από το VICEΟι Παράλογοι Τρόποι που οι Άνθρωποι Απέφευγαν την Εγκυμοσύνη Πριν τη Σύγχρονη ΑντισύλληψηΑμπελόκηποι Είναι η Λεωφόρος Αλεξάνδρας, ο ΠΑΟ, τα Προσφυγικά και η ΓΑΔΑΈζησα Δυο Μέρες Χωρίς Ίντερνετ στην Αθήνα και Ήταν ΚόλασηΔιαβάστε ακόμη: Σας Παρουσιάζουμε τον Άνδρα που Έχει 7.000 Match στο Tinder