Stotine stranica, uključujući one Microsoftove, Adobeove i Wordpressove, koriste tajni kod, skripte po imenu 'session replay', kako bi pratili vašu online aktivnost.
Skriveni podaci koriste se za snimanje svega što posjetite na stranici, uključujući sve što utipkate i gdje pomičete miš, piše Daily Mail.
Ovo bi mogle koristiti i treće strane kako bi otkrile razne podatke o korisniku, počevši od broja kreditne kartice do zdravstvenih podataka, a uz to postoji i rizik od krađe identiteta i on-line prijevara.
Skripte sve snimaju
Ova su otkrića dio Projekta o transparentnosti i odgovornosti interneta Sveučilišta Princeton, koji promatra web stranice i pružatelje web usluga kako bi otkrio koje podatke o korisnicima on-line tvrtke prikupljaju, kako ih prikupljaju, te što rade s njima.
Pokazalo se da 482 od top 50.000 najposjećenijih web stranica koriste 'session replay' skripte.
One se koriste kako bi snimile dodir svake tipke na tipkovnici, kretnje miša, te način skrolanja, kao i cijeli sadržaj stranica koje posjetite, te ih zatim šalju serverima trećih strana.
To se čini kako bi vlasnici web stranica dobili što bolji uvid u način na koji posjetitelji vrše interakciju s njihovim stranicama, te da otkriju koje od njih su loše ili zbunjujuće posjetiteljima.
No tim s Princetona je zabrinut kako bi držanje svih ovih prikupljenih podataka anonimnim moglo biti preteško, te da se posjetitelji izlažu brojnim opasnostima.
"Za razliku od tipičnih analitičkih službi koje nude agregatnu statistiku, ove skripte snimaju individualne epizode surfanja, kao da vam netko gleda preko ramena", rekao je Steven Englehardt, doktorand na Princetonu.
"Kolekcija sadržaja stranice koju prikupe replay skripte neke treće strane može rezultirati time da se osjetljive informacije, poput medicinskih podataka, detalja o kreditnim karticama i drugih osobnih podataka, isto tako predaju trećoj strani u sklopu snimljenih podataka."
"Ovo može izložiti korisnike krađi identiteta, on-line prijevarama i drugom neželjenom ponašanju."
Slabo zaštićeni podaci
Tim s Princetona odlučio je testirati proces koji koriste šest tvrtki koje nude ovakve usluge.
Postavili su testne stranice kako bi saznali kakvim bi se sve vrstama informacija moglo pristupiti.
Englehardt i njegovi kolege otkrili su četiri glavne posljedice koje su posljedica korištenja skripti. Sve proučavane tvrtke pokušavaju spriječiti otkrivanje zaporki tako što ih automatski isključuju iz snimki.
No, to se pravilo ne primjenjuje kada je u pitanju prijavljivanje na stranice preko mobilnih uređaja, osim ako vlasnik stranice ručno ne unese naredbu da se i tako unesene zaporke ne snimaju.
Otkriveno je kako se mogu snimiti i druge osjetljive informacije, npr. one koje se daju prilikom stvaranja računa, tijekom kupovine ili pretraživanja stranice.
Na kraju, i sam način na koji se podaci snimaju, čuvaju, te način pristupa pruža mogućnost curenja podataka.
Tim je objavio popis svih web stranica za koje su otkrili da sadrže skripte koje bi se mogle koristiti za snimanje podataka. Među njima su i stranice poznatih firmi kao što su Microsoft, Adobe, Wordpress, Godaddy, Spotify, Skype, Samsung i Rotten Tomatoes.