Специалисты Центра политики информационных технологий Принстона (CITP) исследовали популярные системы аналитики и обнаружили, что иногда они записывают и личные данные пользователей.
Издание ссылается на ресурс Motherboard, который опубликовал эти результаты исследования популярных сервисов аналитики FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar и «Яндекс», добавив собственные комментарии. Обычно эти сервисы предоставляют обезличенную информацию о количестве и географии просмотров страниц, времени, проведенном на сайте или других действиях посетителей. Однако некоторые из компаний, предоставляющих программное обеспечение веб-аналитики, например, используют сценарии отслеживания, которые позволяют владельцам сайтов связывать полученные данные с подлинной личностью пользователя, передает adindex.ru.
Выяснилось, что такие системы аналитики установлены на примерно каждом сотом из 50000 самых популярных в мире сайтов из рейтинга Alexa, и в некоторых случаях передают данные пользователей через незашифрованный протокол HTTP. Всего было установлено 482 случая, но в Motherboard предполагают, что их может быть больше – по словам исследователей, сценарии не записывают каждого пользователя, который посещает сайт, и при тестировании они могли не обнаружить некоторых неактивированных скриптов.
Некоторые аналитические сервисы позволяет владельцам сайта увидеть не только имя, адрес и другую конфиденциальную информацию пользователя, в том числе ассортимент заказываемых на сайте товаров. Иногда на страницах вводимый текст заменяется случайным текстом той же длины только у специально помеченных форм, а в остальных случаях система отображает эти данные, даже если это будут пароли или номера кредитных карт. Случается, что вводимая информация отображается во время повтора сеанса, даже если пользователь ввел ее в форму, а потом удалил.
При этом исследователи установили, что часть систем веб-аналитики воспроизводят повторы сеансов через протокол HTTP, даже если сам использующий систему сайт использует HTTPS. Это означает, что данные могут быть доступны не только сотрудникам использующих такие системы компаний, но и злоумышленникам.
Как пишет Motherboard, в ответе на запрос по электронной почте представитель «Яндекс» разъяснил, что компания пытается использовать HTTPS везде, где может, и заявил, что собирается обновить продукт в ближайшее время, чтобы больше не использовать HTTP.
«HTTP используется намеренно, поскольку записи сеансов загружают сайты по технологии iframe. К сожалению, загрузка HTTP-контента с сайтов https запрещена на уровне браузера, поэтому для поддержки этой http-поддержки требуется http-плеер для поддержки http-сайтов», — говорится в письме.
Между тем после публикации и запросов от медиа такие компании как Walgreens и Bonobos уже прекратили использовании систем веб-аналитики FullStory, сообщает Wired.
Пресс-служба «Яндекса» дала AdIndex следующие разъяснения: «Наш продукт веб-аналитики «Яндекс.Метрика» предлагает инструмент Session Replay, созданный для того, чтобы помочь веб-мастерам оптимизировать свои целевые страницы путем отслеживания и записи движений мыши. Чтобы обеспечить прозрачность, Session Replay не работает автоматически, только веб-мастера могут создать код отслеживания на «Яндекс.Метрике» и включить повтор сеанса. Яндекс очень серьезно относится к конфиденциальности и безопасности пользователей. Все сеансы анонимны, а личные данные, такие как IP-адрес и адрес электронной почты, не отображаются. Поскольку на некоторых веб-сайтах есть поля ввода, которые могут включать конфиденциальную информацию, а на других нет, мы создали для веб-мастеров возможность отключить запись для полей ввода в соответствии с их политикой конфиденциальности. При этом HTTP используется именно при воспроизведении повторов сеансов, но не при передаче данных, где используется HTTPS».
Типы данных, собираемые разными системами. Заполненный кружок означает, что система не собирает данные, полузаполненный означает, что вводимые данные подменяются данными аналогичной длины, пустой кружок означает, что данные собираются в исходном виде.
В России может появиться еще одна антифрод-платформа. По замыслу, система учета и анализа телефонного мошенничества (СУАТМ) позволит вовлечь в обмен данными всех заинтересованных лиц с тем, чтобы охватить даже такие каналы, как IP-телефония и мессенджеры.
Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.
СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.
Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.
Если это другой оператор, перебирается вся цепочка (за несколько минут), и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.
По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
