Веб-аналитика на популярных сайтах оказалась «дырявой» для персональных данных

Некоторые сайты используют аналитические сервисы, отслеживающие действия пользователей на страницах сайта. Специалисты из Принстонского университета исследовали популярные системы аналитики и обнаружили, что в некоторых случаях они записывают и конфиденциальную информацию, вводимую пользователем в веб-формы. Они также выяснили, что такие системы установлены на примерно каждом сотом среди 50000 самых популярных сайтов, а в некоторых случаях они передают данные о просмотрах пользователей через незашифрованный протокол HTTP, сообщается в исследовании.
На многих сайтах используются те или иные сервисы аналитики, позволяющие отслеживать поведение пользователей на страницах. Как правило, они предоставляют общую и обезличенную информацию о количестве просмотров той или иной страницы, странах, из которых посещаются страницы, или времени, проведенном на сайте. Однако некоторые инструменты предоставляют более подробную информацию, вплоть до точного повторения всех действий пользователя на странице. Такие системы повтора сеанса так же частично обезличивают данные — например, не показывая клиентам ввод в поле пароля.
Специалисты в области компьютерной безопасности под руководством Арвинда Нараянана (Arvind Narayanan) из Принстонского университета решили провести масштабное исследование безопасности основных систем повтора сеансов и использующих их популярных сайтов. Они использовали семь популярных систем такого типа: Яндекс, FullStory, Hotjar, UserReplay, Smartlook, Clicktale, и SessionCam и проверили их наличие на 50000 самых популярных сайтов из рейтинга Alexa.
После публикации исследования некоторые крупные компании, чьи сайты используют такие системы, отреагировали с официальными заявлениями о том, что они прекращают использования системы FullStory, упомянутой в исследовании, сообщает издание Motherboard. Также с официальным заявлением выступил представитель компании Яндекс, который заявил, что компания вынуждена использовать протокол HTTP при воспроизведении повторов сеансов, но в ближайшее время обновит систему Метрика для использования HTTPS.
Недавно другие американские исследователи показали, что обычные люди, не имеющие отношения к рекламным сетям, при определенных условиях могут использовать их для отслеживания перемещений и других конфиденциальных данных конкретных людей. Исследователи продемонстрировали это, создав «сеть» из рекламных объявлений, таргетированных на конкретного пользователя и местоположение.
Григорий Копиев