Некоторые сайты используют аналитические сервисы, отслеживающие действия пользователей на страницах сайта. Специалисты из Принстонского университета исследовали популярные системы аналитики и обнаружили, что в некоторых случаях они записывают и конфиденциальную информацию, вводимую пользователем в веб-формы. Они также выяснили, что такие системы установлены на примерно каждом сотом среди 50000 самых популярных сайтов, а в некоторых случаях они передают данные о просмотрах пользователей через незашифрованный протокол HTTP, сообщается в исследовании.
На многих сайтах используются те или иные сервисы аналитики, позволяющие отслеживать поведение пользователей на страницах. Как правило, они предоставляют общую и обезличенную информацию о количестве просмотров той или иной страницы, странах, из которых посещаются страницы, или времени, проведенном на сайте. Однако некоторые инструменты предоставляют более подробную информацию, вплоть до точного повторения всех действий пользователя на странице. Такие системы повтора сеанса так же частично обезличивают данные — например, не показывая клиентам ввод в поле пароля.
Специалисты в области компьютерной безопасности под руководством Арвинда Нараянана (Arvind Narayanan) из Принстонского университета решили провести масштабное исследование безопасности основных систем повтора сеансов и использующих их популярных сайтов. Они использовали семь популярных систем такого типа: Яндекс, FullStory, Hotjar, UserReplay, Smartlook, Clicktale, и SessionCam и проверили их наличие на 50000 самых популярных сайтов из рейтинга Alexa.
Исследователи выяснили, что такие системы используются на 482 сайтах и опубликовали список таких порталов, входящих в первые 10000 рейтинга. Также авторы выяснили и то, как эти системы собирают и обезличивают разные типы данных. Оказалось, что часть из них позволяет владельцам сайта увидеть имя, адрес и другую конфиденциальную информацию пользователя - например, заказываемые им лекарства на сайте аптеки. Некоторые сайты заменяют вводимый текст случайным текстом той же длины только у специально помеченных форм. В случае, если веб-форма не помечена, система будет отображать эти данные, даже если это будут пароли или номера кредитных карт. Также в некоторых случаях вводимая информация отображается во время повтора сеанса даже если пользователь ввел ее в форму и стер после этого.
Помимо этого исследователи выяснили, что часть систем веб-аналитики воспроизводят повторы сеансов через протокол HTTP, а не поддерживающий шифрование протокол HTTPS, даже если сам сайт, подключенный к системе аналитики использует HTTPS. Исследователи считают, что все эти недостатки значительно снижают безопасность личных данных пользователей. Эти данные могут быть доступны как работникам компаний, которые используют веб-аналитику на своих сайтах, так и третьей стороне: системам аналитики, а в случае с просмотром повторов сеансов через протокол HTTP и злоумышленникам, использующим атаку посредника.
После публикации исследования некоторые крупные компании, чьи сайты используют такие системы, отреагировали с официальными заявлениями о том, что они прекращают использования системы FullStory, упомянутой в исследовании, сообщает издание Motherboard. Также с официальным заявлением выступил представитель компании Яндекс, который заявил, что компания вынуждена использовать протокол HTTP при воспроизведении повторов сеансов, но в ближайшее время обновит систему Метрика для использования HTTPS.
Недавно другие американские исследователи показали, что обычные люди, не имеющие отношения к рекламным сетям, при определенных условиях могут использовать их для отслеживания перемещений и других конфиденциальных данных конкретных людей. Исследователи продемонстрировали это, создав «сеть» из рекламных объявлений, таргетированных на конкретного пользователя и местоположение.