Не секрет, что наши поисковые запросы, просмотры и даже прокрутки страниц фиксируются, но новое исследование проливает свет на то, насколько глубокой и полной может быть такая «слежка». С помощью технологии записи сеансов посещений («session replays»), сайты записывают нажатие каждой клавиши и каждое движение курсора, которые пользователь осуществляет, пока он находится на странице. Складывается впечатление, что вам практически заглядывают через плечо.
Исследование, проведенное Принстонским центром политики в области информационных технологий, сосредоточилось на ряде основных компаний, предлагающих услуги записи сеансов посещений: Яндекс, SessionCam, UserReplay, FullStory, Clicktale, Smartlook и Hotjar.
Важно понять, почему это опасно — помимо прямого вторжения в вашу личную жизнь. В исследовании отмечается, что большинство компаний при ведении записи исключают поля ввода пароля из записей, но только для настольных ПК. В записи, которые ведутся при посещении с мобильных устройств попадает вся конфиденциальная информация без исключения, включая пароли, номера банковских карт и даже коды CVV2.
В докладе отмечается: «Все изученные компании пытаются защитить данные пользователя через автоматическое редактирование, но методы значительно зависят от поставщика. UserReplay и SessionCam заменяют все вводимые данные эквивалентным маскировочным текстом соответствующей длины, в то время как Яндекс, FullStory, Hotjar и Smartlook исключают определенные поля ввода по типу». Хуже того, Яндекс и Hotjar осуществляют трансляцию ваших данных через HTTP — устаревший и уязвимый протокол, который давно замещен HTTPS.
Еще раз подчеркнем, что запись и передача данных ведутся без уведомления пользователя. Ряд экспертов уже подняли вопрос о законности такой слежки.