Исследование Принстонского университета показало, что скрипты для изучения поведения онлайн-пользователей ставят под угрозу их персональные данные. В отличие от традиционных средств веб-анализа, эти инструменты позволяют деанонимизировать посетителя и составить досье с полным набором личной информации.

Авторы исследования изучили семь популярных скриптов: FullStory, Hotjar, UserReplay, Smartlook, Clicktale, SessionCam и «Яндекс.Метрику». Создатели этих программ заявляют, что их продукты помогают повысить удобство использования веб-сайтов. Скрипт записывает движения мыши, клики, вводимый текст и прочие действия пользователя. Веб-мастер может изучить видеозапись и понять, как посетитель взаимодействует со страницей, легко ли он находит нужную информацию, какие аспекты стоит улучшить, чтобы сделать сайт эффективнее.

Предполагается, что личные данные стираются при обработке, но на самом деле эту функцию нужно настраивать дополнительно, с учетом дизайна и особенностей каждой конкретной страницы. Если из-за нехватки времени, лени или по злому умыслу веб-мастер не сделает этого, то ему оказывается доступна вся конфиденциальная информация, которую ввел пользователь, — «как если бы кто-то стоял у вас за спиной», пишут авторы работы. При этом посетители сайта не получают каких-либо предупреждений о работе аналитических скриптов, а на самих страницах зачастую есть дисклеймер, что владельцы не собирают никаких данных о своей аудитории.

В отчете отмечается, что разработчики скриптов продвигают свои продукты как готовые решения под ключ. На сайте популярного сервиса Hotjar создатели предлагают бесплатную версию под лозунгом «Начните работать за несколько секунд» (Get started in seconds). Это противоречит необходимости потратить значительное время на настройку ПО. Веб-мастер должен вручную указать поля, в которых нужно обезличить пользовательские данные. Для динамически генерируемых страниц, которые предлагают каждому посетителю индивидуальный контент, такая работа включает изменение самого онлайн-движка. Более того, при каждом обновлении сайта процесс нужно повторить.

Исследователи изучили работу скриптов на реальных веб-площадках и выяснили, что во многих случаях их создатели действительно не озаботились чисткой сведений. В результате под угрозу попали пользовательские пароли, данные кредитных карт, включая CVV/CVC-коды, личная медицинская, финансовая и прочая информация — в зависимости от специфики сайта. Обезличенные данные зачастую можно восстановить по другим страницам сайта. Иногда веб-мастер забывает про мобильную версию, где информация сохраняется в исходном виде.

Авторы отмечают, что безопаснее всего было бы маскировать все данные по умолчанию, оставляя открытыми только поля из «белых списков». Но даже в этом случае скрипт раскрывал бы, например, длину пользовательского пароля.

Взлом онлайн-скрипта позволил бы злоумышленникам перехватывать личную информацию посетителей десятков площадок, на которых он установлен. Некоторые программы передают информацию с понижением уровня безопасности, открывая возможности для атак типа MitM. «Яндекс.Метрика» и Hotjar и вовсе отправляют данные по HTTP, что позволяет перехватывать их средствами пассивного сетевого мониторинга.

Фактически пользователь не может запретить сайту собирать его данные. Отдельные программы есть в списках блокировщиков рекламы — но не все. Многие браузеры позволяют включить запрет на отслеживание трафика. Однако из всех программ, которые вошли в исследование, только в одной можно отслеживать эту настройку. Причем веб-мастер может и проигнорировать запрет — по данным исследования, так все и поступают.

Оценить угрозы подобного обращения с данными можно по докладу немецких исследователей с DefCon 2017. Журналист Свеа Эккерт (Svea Eckert) и специалист по работе с данными Андреас Девес (Andreas Dewes) зарегистрировали фальшивое маркетинговое агентство и запросили у сотен организаций информацию о том, как их клиенты просматривают веб-страницы, — якобы для обучения некоего машинного алгоритма. Исследователи собрали информацию о 3 млн пользователей, которые сделали 3 млрд кликов на 9 млн сайтов. Эти данные позволили им узнать, какие лекарства принимает некий член британского парламента, и ознакомиться с ходом расследования некоего киберпреступления, которое совместно вели правоохранители нескольких европейских стран.

Категории: Аналитика, Уязвимости