【国际资讯】400多个流行站点记录用户键击 或导致个人敏感信息泄露

阅读量423065

|评论8

|

发布时间 : 2017-11-23 18:03:56

x
译文声明

本文是翻译文章,文章来源:thehackernews.com

原文地址:https://thehackernews.com/2017/11/website-keylogging.html

译文仅供参考,具体内容表达以及含义原文为准。

http://p0.qhimg.com/t0181d70bca6324857b.png

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

网络追踪并非新事

你是不是几乎每天都碰到这种情况:前一秒你还在网上搜索东西,下一秒就会看到在另外的网页或社交媒体网站弹出相关广告?

多数网站都会记录用户的网络活动,普林斯顿大学信息技术策略中心的研究人员最近发表一项研究指出,数百个站点都在记录你在网上的每个动作,包括搜索行为、滚屏行为、按键行为等等。


研究指出站点正在记录用户信息

研究人员分析了排名前5万的Alexa网站后发现其中482个高级别站点使用一种新型网络追踪技术来追踪用户的每个动作。

这种新技术被称为“会话重放 (Session Replay)”,现如今多数站点都在使用,如英国《卫报》、路透社、三星、半岛电视台、VK、Adobe、微软和WordPress等都在使用这种技术记录访客浏览网页的每个动作,随后这些规模巨大的数据被发送给第三方进行分析。

https://p3.ssl.qhimg.com/t01232366fccea2edfd.jpg

“会话重放脚本”一般只收集用户交互相关的数据,可让网站开发人员改进网站的用户体验。

然而,让人担忧的是,这些脚本不仅记录用户主动给予网站的信息,还会收集其它信息如用户未点击“提交”按钮前删除的在表单中填写的信息。

研究人员指出,“越来越多的站点都在使用‘会话重放’脚本。这些脚本会记录你的键击、鼠标动作和滚屏行为,以及你所访问网页上的所有内容并将其发送给第三方服务器。第三方重放脚本所收集的网页内容可能导致敏感信息泄露给第三方如医疗情况、信用卡详情等,这就可能导致用户遭受身份被盗、网络欺诈等风险。”

最让人担忧的是,会话重放脚本所收集的这些信息无法“合理地保持匿名状态”。一些提供会话重放服务的企业甚至还允许网站所有人直接记录跟用户的真实身份信息。


提供会话重放的服务能捕获用户密码

研究人员查看了一些提供会话重放服务的顶级企业如FullStorySessionCamClicktaleSmartlookUserReplayHotjarYandex后发现,多数服务会直接从记录中提出密码输入字段。

然而,在多数情况下,被记录的用户输入可能包含他们本不想提交的信息,从而导致用户敏感信息遭泄露包括密码、信用卡号甚至还包括信用卡安全码。而这些信息会跟其它信息一起提供给第三方分析。


全球顶级网站在记录你的一举一动

虽然有很多顶级公司使用会话重放脚本是出于良好的意图,但由于这些数据是在未经用户知悉或在未给用户弹出提示的情况下收集的,因此这些站点并未重视用户的隐私。

https://p4.ssl.qhimg.com/t019abe5269d4c86874.jpg

另外,这些数据总有可能会掉入黑客之手。

除了未经用户同意外,负责某些站点收集行为的人员甚至并不知晓这些脚本是如何实现的,这就让事情变得有趣了。

使用这些服务的企业包括《卫报》、路透、三星、半岛电视台、VK、Adobe、微软、WordPress、CBS新闻、《每日电讯报》和美国零售巨头家得宝等。

因此,如果你正在浏览这些网站的话,你可能要做好准备:你写的每个字、输入的每个词或者做出的每个动作都正在遭到记录。

本文翻译自thehackernews.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66