Сотни сайтов записывают каждое нажатие клавиш пользователей без их ведома

Согласно проведённому Принстонским университетом исследованию, несколько сотен сайтов записывают всю информацию о том, как вы пролистываете страницы, щёлкаете мышью и двигаете курсором. Среди таких сайтов — The Guardian, Reuters, Samsung, AlJazeera и WordPress.com.

Большинство людей знает, что наши поисковые запросы, просмотры и даже пролистывания страниц документируются. Но исследование проливает свет на то, насколько запутанно всё это может быть. Компании видят, как вы нажимаете на кнопки и перемещаетесь по страницам, как будто стоят у вас за плечом.

Чтобы отследить все эти действия, необходимы специальные записи сессий, доступ к которых предоставляют различные компании. Сотрудники университета сосредоточились на главных провайдерах таких записей — SessionCam, UserReplay, FullStory, Clicktale, Smartlook, Hotjar и «Яндексе». Всего их более 480.

В отчёте говорится, что большинство этих сервисов напрямую удаляют из записей поля ввода паролей. Тем не менее, зачастую не редактируются мобильные формы, из-за чего раскрывается личная информация пользователей. Это могут быть пароли, номера и даже коды безопасности кредитных карт.

«Все изученные компании в той или иной мере смягчают результаты посредством автоматического редактирования, но насколько сильно, зависит по большей части от провайдера, — говорится в исследовании. — UserReplay и SessionCam заменяют все введённые пользователями символы маскирующим текстом эквивалентной длины, а FullStory, Hotjar и Smartlook исключают определённые поля ввода по их типу».

«В первую очередь здесь нужно беспокоиться о том, законно ли записывать нажатия людей на кнопки без их ведома, — заявил директор компании в области безопасности Tripwire Пол Эдон (Paul Edon). — Если эти сайты не предупреждают пользователя об этом, то я бы назвал такие действия нечестными, поскольку человек не знает о том, что о нём собирают информацию».

Обновлено. Представитель Smartlook Эми Страда (Amy Strada) рассказала, что компания теперь работает только по протоколу HTTPS и скрывает длину паролей в полях ввода. В блоге фирмы главный операционный директор Владимир Шандера (Vladimír Šandera) добавил, что сервис не «записывает каждое нажатие кнопки», а просто захватывает визуальное содержимое страниц. «Если вы случайным образом начинаете вводить буквы на клавиатуре, то ничего не захватывается, пока эти буквы не станут видны на сайте, о котором идёт речь», — написал Шандера.

Источник: