Специалисты Центра политики информационных технологий Принстона (CITP) исследовали популярные системы аналитики и обнаружили, что иногда они записывают и личные данные пользователей.
Издание ссылается на ресурс Motherboard, который опубликовал эти результаты исследования популярных сервисов аналитики FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar и «Яндекс», добавив собственные комментарии. Обычно эти сервисы предоставляют обезличенную информацию о количестве и географии просмотров страниц, времени, проведенном на сайте или других действиях посетителей. Однако некоторые из компаний, предоставляющих программное обеспечение веб-аналитики, например, используют сценарии отслеживания, которые позволяют владельцам сайтов связывать полученные данные с подлинной личностью пользователя, передает adindex.ru.
Выяснилось, что такие системы аналитики установлены на примерно каждом сотом из 50000 самых популярных в мире сайтов из рейтинга Alexa, и в некоторых случаях передают данные пользователей через незашифрованный протокол HTTP. Всего было установлено 482 случая, но в Motherboard предполагают, что их может быть больше – по словам исследователей, сценарии не записывают каждого пользователя, который посещает сайт, и при тестировании они могли не обнаружить некоторых неактивированных скриптов.
Некоторые аналитические сервисы позволяет владельцам сайта увидеть не только имя, адрес и другую конфиденциальную информацию пользователя, в том числе ассортимент заказываемых на сайте товаров. Иногда на страницах вводимый текст заменяется случайным текстом той же длины только у специально помеченных форм, а в остальных случаях система отображает эти данные, даже если это будут пароли или номера кредитных карт. Случается, что вводимая информация отображается во время повтора сеанса, даже если пользователь ввел ее в форму, а потом удалил.
При этом исследователи установили, что часть систем веб-аналитики воспроизводят повторы сеансов через протокол HTTP, даже если сам использующий систему сайт использует HTTPS. Это означает, что данные могут быть доступны не только сотрудникам использующих такие системы компаний, но и злоумышленникам.
Как пишет Motherboard, в ответе на запрос по электронной почте представитель «Яндекс» разъяснил, что компания пытается использовать HTTPS везде, где может, и заявил, что собирается обновить продукт в ближайшее время, чтобы больше не использовать HTTP.
«HTTP используется намеренно, поскольку записи сеансов загружают сайты по технологии iframe. К сожалению, загрузка HTTP-контента с сайтов https запрещена на уровне браузера, поэтому для поддержки этой http-поддержки требуется http-плеер для поддержки http-сайтов», — говорится в письме.
Между тем после публикации и запросов от медиа такие компании как Walgreens и Bonobos уже прекратили использовании систем веб-аналитики FullStory, сообщает Wired.
Пресс-служба «Яндекса» дала AdIndex следующие разъяснения: «Наш продукт веб-аналитики «Яндекс.Метрика» предлагает инструмент Session Replay, созданный для того, чтобы помочь веб-мастерам оптимизировать свои целевые страницы путем отслеживания и записи движений мыши. Чтобы обеспечить прозрачность, Session Replay не работает автоматически, только веб-мастера могут создать код отслеживания на «Яндекс.Метрике» и включить повтор сеанса. Яндекс очень серьезно относится к конфиденциальности и безопасности пользователей. Все сеансы анонимны, а личные данные, такие как IP-адрес и адрес электронной почты, не отображаются. Поскольку на некоторых веб-сайтах есть поля ввода, которые могут включать конфиденциальную информацию, а на других нет, мы создали для веб-мастеров возможность отключить запись для полей ввода в соответствии с их политикой конфиденциальности. При этом HTTP используется именно при воспроизведении повторов сеансов, но не при передаче данных, где используется HTTPS».
Типы данных, собираемые разными системами. Заполненный кружок означает, что система не собирает данные, полузаполненный означает, что вводимые данные подменяются данными аналогичной длины, пустой кружок означает, что данные собираются в исходном виде.
Исследователи из Netcraft обнаружили, что теневой сервис Darcula, облегчающий проведение фишинговых атак на владельцев Android-устройств и iPhone, теперь также предлагает возможность использования ИИ.
За год стараниями экспертов было закрыто более 25 тыс. сайтов-ловушек, заблокировано около 31 тыс. IP-адресов и выявлено свыше 90 тыс. фишинговых доменов, ассоциированных с Darcula. Реализация поддержки ИИ обострила противостояние и требует адекватных ответных мер.
Возможность применения ИИ снижает планку для неискушенных преступников и позволяет создавать уникальные исходные коды. В настоящее время криминальный PhaaS (Phishing-as-a-Service, «фишинг как услуга») предлагает подписчикам следующие опции:
клонирование любых страниц по вводу URL оригинала;
GUI-интерфейс для быстрого запуска фишинговых кампаний;
параллельная работа с различными брендами и языками;
обход сигнатурного анализа за счет уникальности фишинг-паков.
Ранее пользователи Darcula довольствовались набором из 200+ фишинговых шаблонов и на их основе могли создавать фальшивки, нацеленные на организации из 100 стран. Теперь злоумышленникам предоставлена возможность придумывать собственные варианты, притом безо всяких ограничений.
«Подобная кастомизация позволяет проводить атаки на нишевые и региональные бренды, которые ранее выпадали из поля зрения фиш-паков, — подчеркивают исследователи. — А возможность создания фишинговых страниц без статичного набора шаблонов снижает эффективность традиционных, сигнатурных методов обнаружения. Чтобы быть на шаг впереди, организациям нужны более динамичные, основанные на поведении средства анализа»».
Напомним, владеющие китайским языком создатели Darcula запустили еще один сервис для фишеров — Lucid, который уже используется для проведения атак — с результативностью 5% вместо обычных 2%. Подписчикам тоже предоставляется возможность рассылок через Android RCS и iMessage, так как мошеннические СМС обычно отсеиваются на спам-фильтрах.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
