infa.lt

Statistikos rinkimui ir tikslinės reklamos rodymui daugelis tinklapių naudoja specialias naudotojų aktyvumo tinklo duomenų analitikos programas. Grupė tyrėjų iš Prinstono universiteto JAV išanalizavo populiarių interneto duomenų analitikos instrumentų darbo principus ir išsiaiškino, jog daugumoje atvejų programos renka ir užrašo konfidencialią naudotojo informaciją, kuri suvedama į tinklapių formas (pavyzdžiui vartotojo vardas ir slaptažodis). Atskirais atvejais jie gali perduoti duomenis apie naudotojo peržiūras ir nešifruotu HTTP protokolu, t. y. juos gali sužinoti praktiškai bet koks pašalinis. Pasirodė, jog tokios sistemos išdėstytos maždaug kiekviename šimtajame iš 5000 populiarių tinklapių. Išsamią ataskaitą apie tyrimą galima pasiskaityti tinklapyje Freedom to Tinker.

Kaip prie to buvo prieita?

Pradžioje tinklo duomenų analitikos paslauga buvo kuriama nuasmenintų duomenų rinkimui apie tų ar kitų tinklapių lankomumą: kiek laiko naudotojas praleido tinklapyje, kokios temos jį labiausia domina ir t.t. Tačiau kai kurie instrumentai su laiku ėmė „gaudyti“ ir asmeninę informaciją: pavyzdžiui, sekti kiekvieną naudotojo veiksmą tinklapyje ar „perimti“ slaptažodžius. Tam, kad būtų išanalizuotas tokių tinklapių „sąžiningumas“, kompiuterinio saugumo specialistai iš Prinstono universiteto paėmė į apyvartą 7 populiarias tinklo analitikos sistemas“ Jandex, FullStory, Hotjar, User Replay, Smartlook, Clicktale bei SessionCam ir patikrino jų turinį 5000 pačių populiariausių tinklapių pagal portalo Alexa versiją.

Duomenų vagystės. Pasirodė, jog šios asmeninių duomenų rinkimo sistemos turimos 482 tinklapiuose ir gali nuasmeninti naudotojų duomenis: pavyzdžiui, dalis duoda prieigą tinklapio savininkams prie vardo ir pavardės, asmeninio lankytojo adreso ir kitos asmeninės informacijos, o būtent – sistema gali žinoti, kokius vaistus jūs užsisakėte toje ar kitoje interneto vaistinėje. Slaptažodžių išsaugojimo klausimu situacija susiklostė dvejopa – kai kurie tinklapiai pakeičia suvedama į jų formas slaptažodį atsitiktiniu rinkiniu, kuris sutampa su pradiniu tik pagal simbolių skaičių. Tačiau tai veikia tik tuo atveju, jei tinklapio forma turi specialią žymą. Likusieji gi, gali perduot analitikos sistemos servisui ir tinklapio savininkui visą suvedamą informaciją, net bankų kortelių slaptažodžius. Atskirais atvejais suvedama informacija buvo išsaugoma net tais atvejais, kai naudotojas suvesdavo informaciją ir jos neišsaugodamas ją ištrindavo.

Be to, tyrėjai atkreipė dėmesį į tai, jog dalis tinklo duomenų analitikos sistemų perduoda visus gautus duomenis HTTP nešifruotu protokolu, o ne HTTPS, kuris palaiko šifravimą. Dėl to visa surinkta informacija gali patekti ne tik į tinklapio savininkų rankas ir tinklo analitikos sistemas, bet ir sukčiams. Būtent todėl jiems nėra ypatingo vargo, juk informacija siunčiama beveik atviru tekstu, pakanka pasinaudoti tarpininko ataka.

Kaip apsaugoti save nuo asmens duomenų vagystės?

Tyrimo rezultatai jau sukėlė milžinišką ažiotažą IT erdvėje: dalis kompanijų pareiškė, jog stabdo FullStory paslaugos naudojimą, kuri pakankamai dažnai linksniuojama ataskaitoje. Oficialūs Jandex atstovai pasakė, jog kol kas jie priversti naudoti HTTP protokolą seansų protokolo atkūrimui, bet artimiausiu metu Metrikos sistema atsinaujins ir veiks pilnai HTTPS protokolu. Eiliniam naudotojui kol kas telieka kuo atsargiau naudoti savo asmeninius duomenis. Jeigu yra galimybė jų nesuvesti į formas – tai geriau to ir nedaryti.