بیش از ۴۰۰ وب‌سایت معروف هر کلیدی را که بر روی صفحه کیبورد فشار می‌دهید و همچنین تمامی‌ حرکات موشواره شما را ذخیره می‌کنند.

برای شما چند بار این اتفاق افتاده است که اگر به‌صورت آنلاین به دنبال چیزی می‌گردید، دفعه بعد شما تبلیغات مربوط به آن محصول را تقریباً بر روی تمامی وب‌سایت‌ها یا شبکه‌های اجتماعی که به آن‌ها مراجعه می‌کنید، می‌بینید؟

ردیابی وب موضوع جدیدی نیست.

بیشتر وب‌سایت‌ها فعالیت‌های آنلاین کاربران خود را ذخیره می‌کنند، اما تحقیقات اخیری که در دانشگاه پرینستون انجام شده است نشان داده که صدها وب‌سایت، تمامی حرکات آنلاین شما را ذخیره می‌کنند که شامل جستجوهای شما، کلیدهای فشرده‌شده توسط صفحه‌کلید، حرت موشواره و تمامی حرکات شما می‌شوند.

محققان مرکز فن‌آوری اطلاعات دانشگاه پرینستون^(۱) ۵۰٫۰۰۰ وب سایتی که در الکسا به‌عنوان سایت‌های برتر ازلحاظ بازدید شناخته می‌شدند را تجزیه‌وتحلیل کردند و دریافتند که ۴۸۲ سایت، که بسیاری از آن‌ها بسیار معروف هستند، در حال استفاده از یک روش جدید ردیابی وب برای ردیابی تمامی حرکات کاربران خود هستند.

این روش که Session Replay نامیده شده است، حتی توسط محبوب‌ترین وب‌سایت‌ها ازجمله The Guardian ،Reuters، سامسونگ، الجزیره، VK، ادوبی، مایکروسافت و وردپرس نیز استفاده می‌شود تا هر حرکتی را که یک بازدیدکننده در هنگام مرور صفحه وب انجام می‌دهد را ضبط کنند و این اطلاعات بسیار گسترده به یک منبع شخص ثالث و برای تجزیه‌وتحلیل ارسال می‌شوند.

معمولاً اسکریپت‌های Session replay برای جمع‌آوری داده‌ها در ارتباط با کاربر طراحی شده است که توسط توسعه‌دهندگان وب می‌تواند برای بهبود تجربه کاربر نهایی استفاده شود.

بااین‌حال، آنچه نگران‌کننده است این است که این اسکریپت‌ها فراتر از اطلاعاتی که شما به‌طور هدفمند به وب‌سایت داده‌اید را ضبط می‌کنند، که حتی شامل متونی است که شما هنگام پر کردن یک فرم تایپ می‌کنید و سپس قبل از فشردن گزینه «ارسال» آن‌ها را حذف می‌کنید[۱].

Steven Englehardt که یک محقق در پرینستون است در یک گزارش با عنوان No Boundaries banner این‌گونه در این مورد توضیح داده است[۲]: “هرروز سایت‌های بیشتری از اسکریپت session replay استفاده می‌کنند. این اسکریپت‌ها کلیدهای فشرده‌شده توسط شما، حرکات موشواره و تمام مطالب صفحاتی که بازدید می‌کنید را ضبط می‌کند و آن‌ها را به سرورهای شخص ثالث ارسال می‌کند. جمع‌آوری محتوای صفحاتی که شما بازدید می‌کنید توسط اسکریپت‌های بازیابی و ارسال آن‌ها به منابع شخص ثالث ممکن است اطلاعات حساسی مانند شرایط پزشکی، جزئیات کارت اعتباری و دیگر اطلاعات شخصی شما را برای آن‌ها آشکار کند. این امر می‌تواند کاربران را در معرض خطر دزدی، کلاه‌برداری‌های آنلاین و دیگر خطرات احتمالی قرار دهد.”

نکته جالب این است که اطلاعاتی که توسط اسکریپت‌های session replay جمع‌آوری می‌شوند نمی‌توانند به‌طور منطقی ناشناس نگه داشته شوند. برخی از شرکت‌هایی که نرم‌افزارهای session replay را ارائه می‌دهند، حتی اجازه می‌دهند صاحبان وب‌سایت به‌صراحت داده‌های ضبط‌شده را به هویت واقعی کاربر مربوطه پیوند دهند.

سرویس‌هایی که session replay را ارائه می‌دهند می‌توانند کلمات عبور شما را ذخیره کنند.

محققان برخی از شرکت‌های پیشرو، ازجمله FullStory ،SessionCam ،Clicktale ،Smartlook ،UserReplay ،Hotjar و Yandex که سرویس‌های نرم‌افزاری session replay را ارائه می‌دهند، بررسی کردند و دریافتند که اکثر این شرکت‌ها، به‌طور مستقیم فیلدهای ورودی کلمه عبور را از بخش ضبط کردن داده‌ها حذف کردند.

بااین‌حال، بیشتر مواقع فرم‌های مخصوص ورود در موبایل که از ورودی‌های متنی برای ذخیره کلمات عبور افشاشده استفاده می‌کنند در بخش تنظیمات ذخیره داده‌ها ویرایش نشده که درنتیجه داده‌های حساس شما شامل کلمات عبور، شماره کارت‌های اعتباری و حتی کدهای امنیتی کارت‌های اعتباری را در اختیار منابع شخص ثالث قرار می‌دهند.

سپس این داده‌ها پس از جمع‌آوری و همراه با سایر اطلاعات جمع‌آوری‌شده با یک منبع شخص ثالث و به‌منظور تجزیه‌وتحلیل به اشتراک گذاشته می‌شوند.

این محقق دراین‌باره گفته است: “ما حداقل یک وب‌سایت را پیدا کردیم که در آن کلمه عبور واردشده در یک فرم ثبت‌نام برای SessionCam فاش شده است، حتی اگر این فرم هرگز ارسال نهایی نشود.”

این محققان همچنین یک ویدیو را منتشر کردند[۳] که نشان می‌دهد این اسکریپت ضبط جلسه چه جزئیاتی را می‌تواند از یک بازدیدکننده وب‌سایت جمع‌آوری کند.

وب‌سایت‌های برتر جهان، هر کلیدی که شما فشار می‌دهید را ثبت می‌کنند.

بسیاری از شرکت‌های قابل‌توجه وجود دارند که از اسکریپت‌های session replay استفاده می‌کنند، حتی اگر نیت این شرکت‌ها خیر باشد، اما ازآنجاکه این اطلاعات بدون اطلاع کاربر جمع‌آوری می‌شود، این وب‌سایت‌ها صرفاً حریم خصوصی کاربران را نقض می‌کنند.

همچنین، همیشه این احتمال بالقوه وجود دارد که این داده‌ها در دستان افراد نادرست قرار گیرد.

علاوه بر این واقعیت که این عمل بدون اطلاع داشتن کاربران رخ می‌دهد، افرادی که مسئول برخی از وب‌سایت‌ها هستند نیز نمی‌دانستند که این اسکریپت در این وب‌سایت‌ها پیاده‌سازی شده است که این موضوع کمی ترسناک است.

شرکت‌هایی که از چنین نرم‌افزارهایی استفاده می‌کنند شامل گاردین، سامسونگ، الجزیره، VK، ادوبی، مایکروسافت، وردپرس، سامسونگ، CBS News، تلگراف، رویترز، Home Depot و بسیاری دیگر از وب‌سایت‌ها هستند.

بنابراین، اگر شما در یکی از این وب‌سایت‌ها وارد شوید، باید انتظار داشته باشید که همه چیزهایی که تایپ می‌کنید و یا هر حرکتی که انجام می‌دهید، ثبت ‌شود.

منابع

[۱] https://thehackernews.com/2017/06/online-form-privacy.html

[۲]https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/

[۳] https://youtu.be/l0Yc8s0DTZA

[۴] https://thehackernews.com/2017/11/website-keylogging.html

(۱) Centre for Information Technology Policy (CITP)