Más de 400 de los sitios web más populares del mundo registran cada pulsación de teclado realizada por sus usuarios

keylogger

Los “scripts de reproducción de sesión” se pueden usar para registrar (y luego reproducir) todo lo que escribió o hizo clic en un sitio web.

La mayoría de las personas que han pasado tiempo en Internet entienden que muchos sitios web registran sus visitas y mantienen un registro de las páginas que han analizado. Cuando busca un par de zapatos en el sitio de un minorista, por ejemplo, registra que usted estaba interesado en ellos. Al día siguiente, verá un anuncio del mismo par en Instagram u otro sitio de redes sociales.

La idea de que los sitios web sigan a los usuarios no es nueva, pero las investigaciones de la Universidad de Princeton indican que el seguimiento en línea es mucho más invasivo de lo que la mayoría de los usuarios entienden. En la primera entrega de una serie titulada “Sin límites”, tres investigadores del Centro de políticas de tecnología de la información (CITP) de Princeton explican cómo los scripts de terceros que se ejecutan en muchos de los sitios web más populares del mundo rastrean cada tecla y luego envían esa información a un servidor de terceros.

Algunos sitios con mucho tráfico ejecutan software que registra cada vez que hace clic y cada palabra que escribe. Si va a un sitio web, comienza a completar un formulario y luego lo abandona, todo lo que ingresó queda registrado aún, según los hallazgos de los investigadores. Si accidentalmente pega algo en un formulario que se copió en el portapapeles, también se graba. Los usuarios de Facebook se indignaron en 2013 cuando se descubrió que la red social estaba haciendo algo similar con las actualizaciones de estado: registraba qué usuarios escribían, incluso si nunca terminaban publicándolo.

Estos scripts, o fragmentos de código que los sitios web ejecutan, se llaman scripts de “repetición de sesión”. Los scripts de reproducción de sesión son utilizados por las empresas para obtener información sobre cómo sus clientes utilizan sus sitios y para identificar páginas web confusas. Pero los scripts no solo agregan estadísticas generales, sino que graban y son capaces de reproducir sesiones de exploración individuales. Los scripts no se ejecutan en todas las páginas, pero a menudo se colocan en páginas donde los usuarios ingresan información confidencial, como contraseñas y condiciones médicas.

Es difícil para el usuario entender lo que está sucediendo “a menos que profundice en la política de privacidad”, me dijo Steve Englehardt , uno de los investigadores detrás del estudio, por teléfono. “Estoy feliz de que los usuarios se den cuenta de ello”.

En el siguiente video, puede ver qué secuencia de comandos de reproducción de sesión puede grabar la compañía FullStory:

Lo más preocupante es que las secuencias de comandos de la repetición de la sesión de información recopilada no pueden “razonablemente mantenerse en el anonimato”, según los investigadores. Algunas de las compañías que ofrecen este software, como FullStory , diseñan guiones de seguimiento que incluso permiten a los propietarios de sitios web vincular las grabaciones que reúnen con la identidad real de un usuario. En el back-end, las empresas pueden ver que un usuario está conectado a un correo electrónico o nombre específico. FullStory no devolvió una solicitud de comentario.

Para llevar a cabo su estudio, Englehardt, Gunes Acar y Arvind Narayanan analizaron siete de las compañías de reproducción de sesiones más populares, incluidas FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar y el motor de búsqueda más popular de Rusia, Yandex .Configuraron páginas de prueba e instalaron secuencias de comandos de repetición de sesión en ellas de seis de las siete compañías. Sus hallazgos indicaron que al menos uno de los scripts de esta compañía está siendo utilizado por 482 de los 50,000 mejores sitios del mundo, según su clasificación de Alexa .

Las empresas prominentes que utilizan las secuencias de comandos incluyen minoristas masculinos Bonobos.com, Walgreens.com y la firma de inversión financiera Fidelity.com. También vale la pena señalar que 482 podría ser una estimación baja. Es probable que los scripts no registren a todos los usuarios que visitan un sitio, me dijeron los investigadores. Entonces, cuando estaban probando, probablemente no detectaron algunos guiones porque no estaban activados. Puede ver todos los sitios web populares que utilizan scripts de reproducción de sesión documentados por los investigadores aquí .

Desde que los investigadores de Princeton publicaron su investigación, tanto Bonobos como Walgreens dijeron que dejarían de usar scripts de reproducción de sesión. “Nos tomamos la protección de los datos de nuestros clientes muy en serio y estamos investigando las afirmaciones hechas en el estudio que se publicó ayer. Al analizar las inquietudes que surgieron, y debido a una gran cantidad de precaución, hemos dejado de compartir datos con FullStory “, dijo un vocero de Walgreens en un correo electrónico.

Bonobos no devolvió una solicitud de comentarios, pero la compañía le dijo a Wired que “eliminó el intercambio de datos con FullStory para evaluar nuestros protocolos y operaciones con respecto a su servicio”. Continuamente evaluamos y fortalecemos sistemas y procesos para proteger los datos de nuestros clientes “.

Fidelity no dijo que dejaría de usar scripts de reproducción de sesión. “No hacemos comentarios sobre la relación (sic) que tenemos con los proveedores o las empresas, pero una de nuestras principales prioridades es la protección de la información del cliente”, dijo un vocero en un comunicado.

Las empresas que venden scripts de reproducción ofrecen una serie de herramientas de redacción que permiten a los sitios web excluir contenido sensible de las grabaciones, y algunos incluso prohíben explícitamente la recopilación de datos de los usuarios. Aún así, el uso de secuencias de comandos de reproducción de sesión por muchos de los sitios web más populares del mundo tiene serias implicaciones de privacidad.

“La recopilación de contenido de la página por parte de scripts de reproducción de terceros puede hacer que la información sensible, como las condiciones médicas, detalles de la tarjeta de crédito y otra información personal mostrada en una página, se filtre a terceros como parte de la grabación”, escribieron los investigadores su publicación.

Las contraseñas a menudo se incluyen accidentalmente en las grabaciones, a pesar de que las secuencias de comandos están diseñadas para excluirlas. Los investigadores descubrieron que, a menudo, no se editaba, ni se editaba parcialmente otra información personal, al menos con algunas de las secuencias de comandos. Dos de las empresas, UserReplay y SessionCam, bloquean todas las entradas de los usuarios de forma predeterminada (solo hacen un seguimiento de dónde hacen clic los usuarios), que es un enfoque mucho más seguro.

Sin embargo, no es solo lo que los usuarios ingresan lo que importa. Cuando inicia sesión en un sitio web, lo que se muestra en la pantalla también puede ser sensible. Los investigadores encontraron que “ninguna de las compañías parece proporcionar redacción automatizada del contenido mostrado por defecto; todo el contenido mostrado termina filtrándose “.

Por ejemplo, los investigadores probaron Walgreens.com, que solía ejecutar un script de la empresa FullStory. A pesar de que Walgreens utiliza varias funciones de redacción ofrecidas por FullStory, descubrieron que la secuencia de comandos de reproducción de la sesión sigue recopilando información, como condiciones médicas y recetas, junto con los nombres reales de los usuarios.

Finalmente, los autores del estudio están preocupados de que las compañías de guiones de sesión puedan ser vulnerables a los ataques dirigidos, especialmente porque son objetivos de gran valor. Por ejemplo, muchas de estas compañías tienen cuadros de mando donde los clientes pueden reproducir las grabaciones que recopilan. Pero los paneles de Yandex, Hotjar y Smartlook ejecutan páginas HTTP no encriptadas , en lugar de páginas HTTPS mucho más seguras y encriptadas.

“Esto permite  realizar un ataque man-in-the-middle  para alterar los contenidos que llegan al cliente web (el navegador web usado por el usuario) inyectándole scripts de session replay que registrarían toda la actividad realizada en las páginas web.

En una declaración enviada por correo electrónico, un portavoz de Yandex me dijo que la empresa intenta usar HTTPS siempre que sea posible, y dijo que pronto actualizará su producto para que ya no use HTTP. “HTTP se usa intencionalmente, ya que las grabaciones de sesión cargan sitios web usando iframe. Desafortunadamente, cargar contenido http desde sitios web https está prohibido en el nivel del navegador, por lo que se requiere http player para soportar sitios web http”, dice la declaración.

Un portavoz de SmartLook dijo algo similar en un comunicado enviado por correo electrónico: “Nuestro equipo de producto ya es consciente de esto y ya están trabajando para solucionar el problema”.

HotJar y UserReplay no emitieron una declaración a tiempo para su publicación. Kevin Goodings, CEO de SessionCam, escribió en una publicación de blog que “Todos en SessionCam pueden respaldar la conclusión del CITP: ‘Mejorar la experiencia del usuario es una tarea crítica para los editores. Sin embargo, no debe hacerse a expensas de la privacidad del usuario “. Todo el equipo de SessionCam vive estos valores todos los días. La privacidad de los visitantes de su sitio web y la seguridad de sus datos son de suma importancia para nosotros “. Un portavoz de Clicktale dijo en un correo electrónico que la compañía” toma muy en serio la privacidad tanto del cliente como del usuario final, utilizando múltiples capas de seguridad y tecnologías para garantizar que los datos se mantengan privados y seguros “.

No son solo las secuencias de comandos de sesión que te siguen por Internet. Un estudio publicado a principios de este año descubrió que casi la mitad de los 1,000 sitios web más populares del mundo usan el mismo software de seguimiento para monitorear su comportamiento de varias maneras.

Si desea bloquear los scripts de reproducción de la sesión, la popular herramienta de bloqueo de anuncios AdBlock Plus , que ahora se ha actualizado para bloquearlo todo como resultado del trabajo de los investigadores.

Fuente: motherboard

Anuncios


Categorías:Seguridad Informática y de la Información

Etiquetas:, ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: