Si vous avez le sentiment inconfortable que quelqu'un regarde par-dessus votre épaule pendant que vous surfez sur le Web, vous n'êtes pas paranoïaque. Une nouvelle étude révèle que des centaines de sites, y compris microsoft.com, adobe.com et godaddy.com, utilisent des scripts qui enregistrent les frappes des visiteurs, les mouvements de la souris et le comportement de défilement en temps réel, avant même que l'entrée soit soumise ou supprimée ultérieurement. .
Les scripts de réexécution de session sont fournis par des services d'analyse tiers conçus pour aider les exploitants de site à mieux comprendre comment les visiteurs interagissent avec leurs propriétés Web et à identifier les pages spécifiques qui sont source de confusion ou sont cassées. Comme leur nom l'indique, les scripts permettent aux opérateurs de reproduire des sessions de navigation individuelles. Chaque clic, entrée et défilement peut être enregistré et lu ultérieurement.
A étude publiée la semaine dernière A indiqué que 482 des sites Web les plus visités du 50,000 utiliser de tels scripts, généralement sans divulgation claire. Il n'est pas toujours facile de détecter les sites qui utilisent de tels scripts. Le nombre réel est presque certainement beaucoup plus élevé, en particulier parmi les sites hors des 50,000 XNUMX premiers qui ont été étudiés.
"La collecte de contenu de page par des scripts de relecture tiers peut entraîner la fuite d'informations sensibles, telles que des conditions médicales, des détails de carte de crédit et d'autres informations personnelles affichées sur une page, vers le tiers dans le cadre de l'enregistrement", Steven Englehardt , un doctorant à l'Université de Princeton, a écrit. «Cela peut exposer les utilisateurs à l'usurpation d'identité, aux escroqueries en ligne et à d'autres comportements indésirables. Il en va de même pour la collecte des entrées utilisateur lors des processus de paiement et d'inscription. »
Englehardt a installé des scripts de relecture à partir de six des services les plus utilisés et a constaté qu'ils exposaient tous les moments privés des visiteurs à des degrés divers. Pendant le processus de création d'un compte, par exemple, les scripts ont enregistré au moins une entrée partielle tapée dans divers champs. Les scripts de FullStory, Hotjar, Yandex et Smartlook étaient les plus intrusifs car, par défaut, ils enregistraient toutes les entrées saisies dans des champs pour les noms, adresses e-mail, numéros de téléphone, adresses, numéros de sécurité sociale et dates de naissance.
La vidéo suivante a capturé les données telles qu'elles ont été transmises en temps réel à FullStory:
https://www.youtube.com/watch?v=l0Yc8s0DTZA
Même lorsque les services prenaient des mesures pour masquer certaines des données, ils le faisaient souvent d'une manière qui continuait de compromettre la vie privée des visiteurs. Smartlook et UserReplay, par exemple, ont collecté le nombre de caractères saisis dans les champs de mot de passe. UserReplay a également enregistré les quatre derniers chiffres des numéros de carte de crédit des visiteurs.