Популярные сервисы веб-аналитики незаконно собирают персональные данные

Популярные сервисы веб-аналитики незаконно собирают персональные данные

Специалисты Центра политики информационных технологий Принстона (CITP) исследовали популярные системы аналитики и обнаружили, что иногда они записывают и личные данные пользователей.

Издание ссылается на ресурс Motherboard, который опубликовал эти результаты исследования популярных сервисов аналитики FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar и «Яндекс», добавив собственные комментарии. Обычно эти сервисы предоставляют обезличенную информацию о количестве и географии просмотров страниц, времени, проведенном на сайте или других действиях посетителей. Однако некоторые из компаний, предоставляющих программное обеспечение веб-аналитики, например, используют сценарии отслеживания, которые позволяют владельцам сайтов связывать полученные данные с подлинной личностью пользователя, передает adindex.ru.

Выяснилось, что такие системы аналитики установлены на примерно каждом сотом из 50000 самых популярных в мире сайтов из рейтинга Alexa, и в некоторых случаях передают данные пользователей через незашифрованный протокол HTTP. Всего было установлено 482 случая, но в Motherboard предполагают, что их может быть больше – по словам исследователей, сценарии не записывают каждого пользователя, который посещает сайт, и при тестировании они могли не обнаружить некоторых неактивированных скриптов. 

Некоторые аналитические сервисы позволяет владельцам сайта увидеть не только имя, адрес и другую конфиденциальную информацию пользователя, в том числе ассортимент заказываемых на сайте товаров. Иногда на страницах вводимый текст заменяется случайным текстом той же длины только у специально помеченных форм, а в остальных случаях система отображает эти данные, даже если это будут пароли или номера кредитных карт. Случается, что вводимая информация отображается во время повтора сеанса, даже если пользователь ввел ее в форму, а потом удалил.

При этом исследователи установили, что часть систем веб-аналитики воспроизводят повторы сеансов через протокол HTTP, даже если сам использующий систему сайт использует HTTPS. Это означает, что данные могут быть доступны не только сотрудникам использующих такие системы компаний, но и злоумышленникам.

Как пишет Motherboard, в ответе на запрос по электронной почте представитель «Яндекс» разъяснил, что компания пытается использовать HTTPS везде, где может, и заявил, что собирается обновить продукт в ближайшее время, чтобы больше не использовать HTTP. 

«HTTP используется намеренно, поскольку записи сеансов загружают сайты по технологии iframe. К сожалению, загрузка HTTP-контента с сайтов https запрещена на уровне браузера, поэтому для поддержки этой http-поддержки требуется http-плеер для поддержки http-сайтов», — говорится в письме.

Между тем после публикации и запросов от медиа такие компании как Walgreens и Bonobos уже прекратили использовании систем веб-аналитики FullStory, сообщает Wired.

Пресс-служба «Яндекса» дала AdIndex следующие разъяснения: «Наш продукт веб-аналитики «Яндекс.Метрика» предлагает инструмент Session Replay, созданный для того, чтобы помочь веб-мастерам оптимизировать свои целевые страницы путем отслеживания и записи движений мыши. Чтобы обеспечить прозрачность, Session Replay не работает автоматически, только веб-мастера могут создать код отслеживания на «Яндекс.Метрике» и включить повтор сеанса. Яндекс очень серьезно относится к конфиденциальности и безопасности пользователей. Все сеансы анонимны, а личные данные, такие как IP-адрес и адрес электронной почты, не отображаются. Поскольку на некоторых веб-сайтах есть поля ввода, которые могут включать конфиденциальную информацию, а на других нет, мы создали для веб-мастеров возможность отключить запись для полей ввода в соответствии с их политикой конфиденциальности. При этом HTTP используется именно при воспроизведении повторов сеансов, но не при передаче данных, где используется HTTPS».

Типы данных, собираемые разными системами. Заполненный кружок означает, что система не собирает данные, полузаполненный означает, что вводимые данные подменяются данными аналогичной длины, пустой кружок означает, что данные собираются в исходном виде.

 

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Сотрудникам Аэрофлота запретили пользоваться смартфонами в офисах

Генеральный директор «Аэрофлота» выпустил указ, согласно которому сотрудникам компании запрещается в рабочее время пользоваться телефонами, которые могут производить фото- и видеосъемку, а также аудиозапись.

Эту информацию опубликовал у себя в Twitter председатель совета благотворительного фонда «Нужна помощь» Митя Алешковский.

Исходя из текста приказа, использовать телефоны в офисах могут лишь сотрудники, занимающие определенные должности. Соответствующие должности перечислены в приложении к документу, которое, к сожалению, Алешковский не опубликовал.

«Приказ принят в рамках российского законодательства и направлен на охрану информационной безопасности в компании с госучастием. Последний информационный вброс, а именно фото данного приказа, сделан с применением камеры мобильного телефона, что свидетельствует о правильности решения», — передают «Ведомости» слова представителя компании.

Работников должны будут ознакомить с этим приказом под роспись, а также руководящий состав должен будет выявлять правонарушения и привлекать к дисциплинарной ответственности виновных. Контроль за исполнением приказа возложен на гендиректора по административному управлению «Аэрофлота» Василия Авилова.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru