Сайты сотен крупных компаний записывают каждое ваше действие

Согласно исследованию, недавно проведенному Принстонским университетом, сотни веб-сайтов фиксируют каждое движение мыши: клики, прокрутку, вводимую информацию и даже могут вести трансляцию посещения в реальном времени. Среди них Samsung, Microsoft, Spotify, WordPress, Reuters, The Guardian, AlJazeera и другие.
Григорий Матюхин

Не секрет, что наши поисковые запросы, просмотры и даже прокрутки страниц фиксируются, но новое исследование проливает свет на то, насколько глубокой и полной может быть такая «слежка». С помощью технологии записи сеансов посещений («session replays»), сайты записывают нажатие каждой клавиши и каждое движение курсора, которые пользователь осуществляет, пока он находится на странице. Складывается впечатление, что вам практически заглядывают через плечо.

Фото: скриншот YouTube
Фото: скриншот YouTube

Исследование, проведенное Принстонским центром политики в области информационных технологий, сосредоточилось на ряде основных компаний, предлагающих услуги записи сеансов посещений: Яндекс, SessionCam, UserReplay, FullStory, Clicktale, Smartlook и Hotjar.

Важно понять, почему это опасно — помимо прямого вторжения в вашу личную жизнь. В исследовании отмечается, что большинство компаний при ведении записи исключают поля ввода пароля из записей, но только для настольных ПК. В записи, которые ведутся при посещении с мобильных устройств попадает вся конфиденциальная информация без исключения, включая пароли, номера банковских карт и даже коды CVV2.

В докладе отмечается: «Все изученные компании пытаются защитить данные пользователя через автоматическое редактирование, но методы значительно зависят от поставщика. UserReplay и SessionCam заменяют все вводимые данные эквивалентным маскировочным текстом соответствующей длины, в то время как Яндекс, FullStory, Hotjar и Smartlook исключают определенные поля ввода по типу». Хуже того, Яндекс и Hotjar осуществляют трансляцию ваших данных через HTTP — устаревший и уязвимый протокол, который давно замещен HTTPS.

Еще раз подчеркнем, что запись и передача данных ведутся без уведомления пользователя. Ряд экспертов уже подняли вопрос о законности такой слежки.