Cómo detener más de 400 sitios que registran todo lo que escribe: Lista completa de cada sitio usando secuencias de comandos de reproducción de sesión

Ha leído las noticias sobre los escenarios de recurrencia de sesiones y cómo permiten que más de 400 sitios web realicen un seguimiento de cada pulsación de tecla y clic del mouse, y ciertamente está preocupado. Si no ha seguido las noticias, investigadores de la Universidad de Princeton Centro de Políticas de Tecnología de la Información (CITP), descubrió que los 400 sitios web más populares del mundo, incluidos Telégrafo y BBC buena comida código en ejecución capaz de rastrear todo lo que ingresa en un sitio web. Esto significa que sin su conocimiento o consentimiento explícito, su información es capturada y utilizada por servidores de terceros.

Puede pensar que los sitios web que registran sus actividades para que pueda obtener productos de remarketing no son nada nuevo, y no lo son. En este caso, sin embargo, los escenarios de reproducción de la sesión son mucho más amplios que lo que decide hacer clic y comprar.

Aquí, algunos de los sitios web más populares del mundo registran cada pulsación de tecla, ya sea una búsqueda en el sitio o un chat de texto con un asistente. Si comienza a completar un formulario con direcciones de correo electrónico, números de teléfono o información personal y luego decide no seguir, estos sitios ya tienen la información que necesita.

Afortunadamente, existe una manera de protegerse de estos sitios y escenarios de reproducción en general. Publicado como parte de la investigación CITP una lista de búsqueda de todos los sitios donde se encontró el uso de secuencias de comandos de reproducción de sesión. También, muy convenientemente, le dice si este sitio tiene la culpa de enviar su información a servidores de terceros.

Cómo bloquear secuencias de comandos de reproducción de sesión:

La forma más fácil de evitar los scripts de reproducción de sesión es dirigirse a Lista CITP para buscar y evitar activamente el uso de estos sitios. Esto puede significar que tendrá que cambiar sus hábitos de navegación, pero probablemente estará mejor.

Si no quieres cambiar tus hábitos de navegación y no te culpo, puedes usar AdBlock Plus. Mientras que AdBlock Plus mata el 99% de los ingresos de la mayoría de las publicaciones, por ejemplo alfr, obtener de los visitantes de su página, ahora se ha actualizado para detener los scripts de reproducción en 487 sitios enumerados por CITP. Tendrás que pagar por AdBlock Plus, que parece un poco raro pagar por algo para dejar de pagar por otro contenido, pero funciona.

Se ha encontrado que más de 400 sitios usan secuencias de comandos de reproducción de sesión para borrar su información

Durante años, los registradores de pulsaciones de teclas han sido sinónimo de descargas complicadas y software espía que se introducen en su ordenador. Ahora la tecnología se ha vuelto mucho más común y común, y parece ser utilizada de una de las formas más obsesivas.

Estudio de la Universidad de Princeton Centro de Políticas de Tecnología de la Información (CITP) descubrió que los 400 sitios web más populares, incluidos Telégrafo y BBC Good Food: ejecuta un código que puede rastrear todo lo que ingresas sin tu conocimiento o consentimiento explícito.

Aún más preocupante es que sus pulsaciones de teclas y datos, incluida la información que ingresó y luego eliminó, se envían a un servidor de terceros.

Cómo tarjeta madre señala que la situación es similar a lo que hizo Facebook con actualizaciones de estado de usuario incompletas. En 2013, cuando quedó claro que Facebook grababa lo que se decía y luego lo borraba antes de publicar el mensaje, la gente se enojó. Pero ahora que todos estos sitios web conocidos están viendo lo que estás escribiendo y haciendo clic, casi no sabemos qué está pasando.

LEE MAS: Así es como puedes ver todo lo que Facebook sabe sobre ti

Para ser justos, los sitios que se ha encontrado que utilizan dichos servicios de registro de pulsaciones de teclas en realidad no tienen la intención de recibir esta información. En cambio, es una consecuencia directa del uso de lo que se llama un “Escenario de repetición de sesión”. Estos scripts web se utilizan para rastrear interacciones y ayudar en el diseño de UX para informar a los propietarios de sitios web cómo pueden mejorar los viajes de los visitantes a través de su sitio web. Desafortunadamente, estos scripts registran casi todo y envían para su análisis.

Empeora cuando descubres que, como dijo el equipo de investigación, no puedes "esperar razonablemente permanecer en el anonimato". Como lo explica la placa base, uno de esos escenarios de reproducción de sesiones FullStory en realidad brinda información de seguimiento a los propietarios del sitio. Podrán ver quién era un usuario en particular y monitorear todas las acciones en el sitio en tiempo real, incluido todo lo que reclutan.

Aquí hay un video de lo que puede hacer un escenario de repetición de FullStory, pero muchas otras compañías que los desarrollan están haciendo lo mismo:

https://youtube.com/watch?v=l0Yc8s0DTZA

Los investigadores realizaron su estudio revisando las siete empresas de reproducción más populares del mercado y probando sus productos en una serie de páginas de prueba. Sin embargo, encontraron que al menos uno de estos escenarios usaba 482 de los 50 000 mejores sitios del mundo, ordenados por Calificación de Alexa.

En stock su puesto de investigación"Sin fronteras: extracción de datos personales con secuencias de comandos de recurrencia de sesión", comunicados del equipo de Princeton lista de sitios que usaron scripts, pero solo sitios que confirmaron el envío de tales registros a terceros.

Mirando la lista de sitios, hay algunos culpables alarmantes. Un vistazo rápido muestra que WordPress.com, Microsoft.com, Adobe.com y Spotify.com utilizan estos scripts de seguimiento. Telégrafo El sitio web también es culpable de rastrear junto con BBC Good Food. Afortunadamente, estos sitios no se han incluido por lo que hacen más que un simple software, los sitios que parecen registrar y enviar datos a terceros parecen una combinación increíble, y el motor de búsqueda ruso Yandex está a la cabeza.

LEER MÁS: La seguridad y la privacidad siempre serán un equilibrio imperfecto

Curiosamente, el propio sitio web de HP ha sido designado como remitente de datos junto con Atlassian, Xfinity y Comcast.

Muchas empresas que envían estos datos también ofrecen servicios de edición para eliminar información confidencial, pero hay muchas que no lo hacen. Tal fuga de información a la esfera pública puede tener graves consecuencias para la privacidad.

"La recopilación del contenido de la página a través de escenarios de reproducción de terceros puede provocar filtraciones de información confidencial, como condiciones médicas, detalles de tarjetas de crédito y otra información personal que se muestra en la página a un tercero como parte del registro", escribieron los investigadores. su puesto

monitoreo de privacidad

Los investigadores notaron que la información personal y las contraseñas generalmente se infiltran a través de cualquier software de edición, incluso si es solo parcial. Curiosamente, ambos proveedores de secuencias de comandos de Session Replay Script, UserReplay y SessionCam, bloquean completamente la información al rastrear dónde hace clic el usuario antes de escribir. Sin embargo, si la información predeterminada se muestra en la pantalla, por ejemplo, cuando inicia sesión en la página de la cuenta del sitio, su información personal permanece sin editar.

En la mayoría de los casos, esto es normal. Pero si un sitio, como la red estadounidense de farmacias Walgreens, enumera de forma predeterminada condiciones médicas y recetas médicas anteriores en su página de usuario, toda esta información puede caer fácilmente en las manos equivocadas.

LEE MAS: El estudiante usó un registrador de teclas para cambiar la puntuación más de 90 veces

Si se pregunta qué tan probable es que esto suceda, entonces resulta que las cosas empeorarán. Como se señaló en su informe, los investigadores descubrieron que estas empresas que rastrean las sesiones en realidad pueden ser vulnerables a la piratería informática dirigida. No solo son objetivos valiosos, sino que muchos paneles utilizados por sus clientes se ejecutan en páginas HTTP sin cifrar en lugar de páginas HTTPS.

Usando HTTP sobre HTTPS, "esto permite que la persona activa en el medio ingrese el guión en la página de reproducción y recupere todos los datos de registro", explicaron los investigadores.

HTTP permite que la persona activa en el medio recupere todos los datos de registro

Desde la publicación del informe, varios sitios que usan secuencias de comandos de reproducción de sesiones y los proveedores responsables de crearlos han comentado sobre el problema. Numerosas respuestas indican que muchos sitios no han sido conscientes de cómo funcionan estas cosas y, por lo tanto, están buscando oportunidades para descontinuar dichos servicios o mejorarlos para mantener seguros los datos de los usuarios. En cuanto al desarrollo, de los pocos que hablaron sobre el tema, SessionCam proporcionó entrada en el blog destacando sus preocupaciones y asegurando a los usuarios que la seguridad y la privacidad son sus principales preocupaciones.

LEER MÁS: ¿Qué tan seguros son los servicios de almacenamiento en la nube?

Dado que SessionCam es en realidad el proveedor más seguro de secuencias de comandos de reproducción de sesión, al menos en términos de privacidad del usuario, el mensaje es bastante tranquilizador de que la empresa mantiene sus datos seguros.

"Todos en SessionCam pueden ver la conclusión de CITP:" Mejorar la experiencia del usuario es un desafío crítico para los editores. Sin embargo, esto no debería ser a expensas de la privacidad del usuario”, escribe SessionCam. “Todo el equipo de SessionCam vive estos valores todos los días. La privacidad de los visitantes de su sitio web y la seguridad de sus datos son primordiales para nosotros.

“Estoy agradecido con el CITP por plantear este problema y abordar los problemas. Seguiremos trabajando para brindar aún mayor seguridad y dar a nuestros clientes y a sus clientes la tranquilidad que necesitan”.

Hay una forma de protegerse de estos escenarios de reproducción de sesiones: instale AdBlock Plus. Solía ​​​​protegerlo de varios rastreadores de este tipo, pero ahora, después de la investigación de Princeton, se actualizó para protegerlo de todos los escenarios enumerados en la publicación del investigador.

Artículos de interés

Subir