Специалисты Центра политики информационных технологий Принстона (CITP) исследовали популярные системы аналитики и обнаружили, что иногда они записывают и личные данные пользователей.
Издание ссылается на ресурс Motherboard, который опубликовал эти результаты исследования популярных сервисов аналитики FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar и «Яндекс», добавив собственные комментарии. Обычно эти сервисы предоставляют обезличенную информацию о количестве и географии просмотров страниц, времени, проведенном на сайте или других действиях посетителей. Однако некоторые из компаний, предоставляющих программное обеспечение веб-аналитики, например, используют сценарии отслеживания, которые позволяют владельцам сайтов связывать полученные данные с подлинной личностью пользователя, передает adindex.ru.
Выяснилось, что такие системы аналитики установлены на примерно каждом сотом из 50000 самых популярных в мире сайтов из рейтинга Alexa, и в некоторых случаях передают данные пользователей через незашифрованный протокол HTTP. Всего было установлено 482 случая, но в Motherboard предполагают, что их может быть больше – по словам исследователей, сценарии не записывают каждого пользователя, который посещает сайт, и при тестировании они могли не обнаружить некоторых неактивированных скриптов.
Некоторые аналитические сервисы позволяет владельцам сайта увидеть не только имя, адрес и другую конфиденциальную информацию пользователя, в том числе ассортимент заказываемых на сайте товаров. Иногда на страницах вводимый текст заменяется случайным текстом той же длины только у специально помеченных форм, а в остальных случаях система отображает эти данные, даже если это будут пароли или номера кредитных карт. Случается, что вводимая информация отображается во время повтора сеанса, даже если пользователь ввел ее в форму, а потом удалил.
При этом исследователи установили, что часть систем веб-аналитики воспроизводят повторы сеансов через протокол HTTP, даже если сам использующий систему сайт использует HTTPS. Это означает, что данные могут быть доступны не только сотрудникам использующих такие системы компаний, но и злоумышленникам.
Как пишет Motherboard, в ответе на запрос по электронной почте представитель «Яндекс» разъяснил, что компания пытается использовать HTTPS везде, где может, и заявил, что собирается обновить продукт в ближайшее время, чтобы больше не использовать HTTP.
«HTTP используется намеренно, поскольку записи сеансов загружают сайты по технологии iframe. К сожалению, загрузка HTTP-контента с сайтов https запрещена на уровне браузера, поэтому для поддержки этой http-поддержки требуется http-плеер для поддержки http-сайтов», — говорится в письме.
Между тем после публикации и запросов от медиа такие компании как Walgreens и Bonobos уже прекратили использовании систем веб-аналитики FullStory, сообщает Wired.
Пресс-служба «Яндекса» дала AdIndex следующие разъяснения: «Наш продукт веб-аналитики «Яндекс.Метрика» предлагает инструмент Session Replay, созданный для того, чтобы помочь веб-мастерам оптимизировать свои целевые страницы путем отслеживания и записи движений мыши. Чтобы обеспечить прозрачность, Session Replay не работает автоматически, только веб-мастера могут создать код отслеживания на «Яндекс.Метрике» и включить повтор сеанса. Яндекс очень серьезно относится к конфиденциальности и безопасности пользователей. Все сеансы анонимны, а личные данные, такие как IP-адрес и адрес электронной почты, не отображаются. Поскольку на некоторых веб-сайтах есть поля ввода, которые могут включать конфиденциальную информацию, а на других нет, мы создали для веб-мастеров возможность отключить запись для полей ввода в соответствии с их политикой конфиденциальности. При этом HTTP используется именно при воспроизведении повторов сеансов, но не при передаче данных, где используется HTTPS».
Типы данных, собираемые разными системами. Заполненный кружок означает, что система не собирает данные, полузаполненный означает, что вводимые данные подменяются данными аналогичной длины, пустой кружок означает, что данные собираются в исходном виде.
YouTube разворачивает вторую волну ограничений по возрасту, вызвав бурю негодования среди пользователей. Напомним, летом платформа запустила в США систему определения возраста на базе ИИ. Сначала она работала относительно спокойно, но к сентябрю начала массово отмечать пользователей как несовершеннолетних.
Казалось бы, благородная цель — защитить детей от «взрослого контента». Но вот беда — система ошибается и блокирует взрослых пользователей, решив, что им нет 18.
Тем, кто «проскочил» первую волну, расслабляться рано. По сообщениям пользователей на площадке Reddit, новая волна фильтрации идёт полным ходом.
«Мы изменили некоторые ваши настройки. Не смогли подтвердить, что вы взрослый», — такое уведомление теперь встречают тысячи пользователей.
Чтобы вернуть доступ ко всем видео, YouTube предлагает подтвердить возраст документом, либо согласиться на ограниченный режим — без части контента, без персонализированной рекламы и с навязчивыми советами про цифровое благополучие.
Историй об ошибках — масса. Один пользователь написал:
«Мне 18, но YouTube думает, что я ребёнок, потому что аккаунт создали родители после моего рождения!»
Другой добавил:
«Сегодня мой канал пометили как “до 18”, хотя мне 21, и я вообще не заходил туда с марта».
Выбор у «заблокированных» невелик:
смириться с ограничениями;
отправить свои паспортные данные YouTube;
завести новый аккаунт и начать всё заново.
Помимо урезанного доступа к видео, YouTube автоматически включает «детские» настройки:
только деперсонализированная реклама,
активированные по умолчанию инструменты цифрового благополучия,
постоянные напоминания о конфиденциальности,
минимизация рекомендаций контента, который может «влиять на восприятие».
Пока пользователи спорят, оправданны ли такие меры, очевидно одно: YouTube пытается быть ответственным родителем, но ИИ пока слишком подозрителен.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
