Специалисты Центра политики информационных технологий Принстона (CITP) исследовали популярные системы аналитики и обнаружили, что иногда они записывают и личные данные пользователей.
Издание ссылается на ресурс Motherboard, который опубликовал эти результаты исследования популярных сервисов аналитики FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar и «Яндекс», добавив собственные комментарии. Обычно эти сервисы предоставляют обезличенную информацию о количестве и географии просмотров страниц, времени, проведенном на сайте или других действиях посетителей. Однако некоторые из компаний, предоставляющих программное обеспечение веб-аналитики, например, используют сценарии отслеживания, которые позволяют владельцам сайтов связывать полученные данные с подлинной личностью пользователя, передает adindex.ru.
Выяснилось, что такие системы аналитики установлены на примерно каждом сотом из 50000 самых популярных в мире сайтов из рейтинга Alexa, и в некоторых случаях передают данные пользователей через незашифрованный протокол HTTP. Всего было установлено 482 случая, но в Motherboard предполагают, что их может быть больше – по словам исследователей, сценарии не записывают каждого пользователя, который посещает сайт, и при тестировании они могли не обнаружить некоторых неактивированных скриптов.
Некоторые аналитические сервисы позволяет владельцам сайта увидеть не только имя, адрес и другую конфиденциальную информацию пользователя, в том числе ассортимент заказываемых на сайте товаров. Иногда на страницах вводимый текст заменяется случайным текстом той же длины только у специально помеченных форм, а в остальных случаях система отображает эти данные, даже если это будут пароли или номера кредитных карт. Случается, что вводимая информация отображается во время повтора сеанса, даже если пользователь ввел ее в форму, а потом удалил.
При этом исследователи установили, что часть систем веб-аналитики воспроизводят повторы сеансов через протокол HTTP, даже если сам использующий систему сайт использует HTTPS. Это означает, что данные могут быть доступны не только сотрудникам использующих такие системы компаний, но и злоумышленникам.
Как пишет Motherboard, в ответе на запрос по электронной почте представитель «Яндекс» разъяснил, что компания пытается использовать HTTPS везде, где может, и заявил, что собирается обновить продукт в ближайшее время, чтобы больше не использовать HTTP.
«HTTP используется намеренно, поскольку записи сеансов загружают сайты по технологии iframe. К сожалению, загрузка HTTP-контента с сайтов https запрещена на уровне браузера, поэтому для поддержки этой http-поддержки требуется http-плеер для поддержки http-сайтов», — говорится в письме.
Между тем после публикации и запросов от медиа такие компании как Walgreens и Bonobos уже прекратили использовании систем веб-аналитики FullStory, сообщает Wired.
Пресс-служба «Яндекса» дала AdIndex следующие разъяснения: «Наш продукт веб-аналитики «Яндекс.Метрика» предлагает инструмент Session Replay, созданный для того, чтобы помочь веб-мастерам оптимизировать свои целевые страницы путем отслеживания и записи движений мыши. Чтобы обеспечить прозрачность, Session Replay не работает автоматически, только веб-мастера могут создать код отслеживания на «Яндекс.Метрике» и включить повтор сеанса. Яндекс очень серьезно относится к конфиденциальности и безопасности пользователей. Все сеансы анонимны, а личные данные, такие как IP-адрес и адрес электронной почты, не отображаются. Поскольку на некоторых веб-сайтах есть поля ввода, которые могут включать конфиденциальную информацию, а на других нет, мы создали для веб-мастеров возможность отключить запись для полей ввода в соответствии с их политикой конфиденциальности. При этом HTTP используется именно при воспроизведении повторов сеансов, но не при передаче данных, где используется HTTPS».
Типы данных, собираемые разными системами. Заполненный кружок означает, что система не собирает данные, полузаполненный означает, что вводимые данные подменяются данными аналогичной длины, пустой кружок означает, что данные собираются в исходном виде.
Исследователи из «Лаборатории Касперского» и BI.ZONE сообщили о новой волне активности бэкдора PipeMagic. Этот вредонос впервые заметили в 2022 году в атаках на компании в Азии, а в конце 2024-го он использовался против организаций в Саудовской Аравии. В 2025 году атаки продолжились и затронули уже и бразильские предприятия.
Эксперты отмечают, что злоумышленники сохранили интерес к компаниям в Саудовской Аравии, но теперь расширили географию атак.
При этом в арсенале PipeMagic появились новые приёмы. Одним из ключевых элементов стала эксплуатация уязвимости CVE-2025-29824 в драйвере clfs.sys, которую Microsoft закрыла в апреле 2025 года. Ошибка позволяла получить права локального администратора, воровать учётные данные и шифровать файлы в системе. В некоторых случаях использовались также индексные файлы справки Microsoft для запуска вредоносного кода.
Кроме того, исследователи зафиксировали новые версии загрузчика PipeMagic, замаскированного под приложение ChatGPT. Похожая маскировка применялась и в атаках в Саудовской Аравии в 2024 году.
По словам Леонида Безвершенко из Kaspersky GReAT, злоумышленники продолжают развивать PipeMagic: в обновлённых версиях добавлены механизмы закрепления в инфраструктуре и облегчённого перемещения по сети.
Павел Блинников из BI.ZONE отмечает, что драйвер clfs.sys в последние годы стал популярной целью атак ради финансовой выгоды. Всё чаще применяются 0-day эксплойты, в том числе для драйверов. Основная цель хакеров — повысить привилегии и скрыть следы.
PipeMagic был впервые замечен в 2022 году в связке с RansomExx. Тогда им пользовались для атак на промышленные компании Юго-Восточной Азии. Бэкдор умеет работать как инструмент удалённого доступа или прокси, выполняя широкий спектр команд.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
