Si tiene la incómoda sensación de que alguien está mirando por encima de su hombro mientras navega por la Web, no está siendo paranoico. Un nuevo estudio encuentra que cientos de sitios, incluidos microsoft.com, adobe.com y godaddy.com, emplean scripts que registran las pulsaciones de teclas, los movimientos del mouse y el comportamiento de desplazamiento de los visitantes en tiempo real, incluso antes de que se envíe la entrada o se elimine posteriormente. .
Los scripts de reproducción de sesiones son proporcionados por servicios de análisis de terceros diseñados para ayudar a los operadores del sitio a comprender mejor cómo los visitantes interactúan con sus propiedades web e identifican páginas específicas que son confusas o rotas. Como su nombre lo indica, los scripts permiten a los operadores recrear sesiones de navegación individuales. Cada clic, entrada y desplazamiento se puede grabar y luego reproducir.
A estudio publicado la semana pasada Informó que 482 de los sitios web con más tráfico de 50,000 emplear dichos guiones, generalmente sin una divulgación clara. No siempre es fácil detectar sitios que emplean dichos scripts. Es casi seguro que el número real es mucho más alto, particularmente entre los sitios fuera de los 50,000 principales estudiados.
"La recopilación del contenido de la página mediante secuencias de comandos de reproducción de terceros puede hacer que información confidencial, como afecciones médicas, detalles de tarjetas de crédito y otra información personal que se muestra en una página, se filtre a terceros como parte de la grabación", Steven Englehardt , escribió un candidato a doctorado en la Universidad de Princeton. “Esto puede exponer a los usuarios al robo de identidad, estafas en línea y otros comportamientos no deseados. Lo mismo ocurre con la recopilación de entradas de usuarios durante los procesos de pago y registro ".
Englehardt instaló secuencias de comandos de reproducción de seis de los servicios más utilizados y descubrió que todos exponían los momentos privados de los visitantes en diversos grados. Durante el proceso de creación de una cuenta, por ejemplo, los scripts registraron al menos una entrada parcial escrita en varios campos. Los scripts de FullStory, Hotjar, Yandex y Smartlook fueron los más intrusivos porque, de forma predeterminada, registraban todas las entradas escritas en campos para nombres, direcciones de correo electrónico, números de teléfono, direcciones, números de seguro social y fechas de nacimiento.
El siguiente video capturó datos tal como se transmitieron en tiempo real a FullStory:
https://www.youtube.com/watch?v=l0Yc8s0DTZA
Incluso cuando los servicios tomaron medidas para enmascarar algunos de los datos, a menudo lo hicieron de formas que siguieron poniendo en peligro la privacidad de los visitantes. Smartlook y UserReplay, por ejemplo, recopilaron la cantidad de caracteres escritos en los campos de contraseña. UserReplay también registró los últimos cuatro dígitos de los números de tarjetas de crédito de los visitantes.