Hơn 400 website nổi tiếng ghi lại mọi phím bấm của người dùng

01:00 | 13/12/2017 | LỖ HỔNG ATTT
Việc các website theo dõi người dùng đã được biết tới từ lâu. Phần lớn các website ghi nhận mọi hành vi trực tuyến của người dùng, nhưng nghiên cứu gần đây của trường Đại học Princeton còn cho thấy hàng trăm website đang ghi lại mọi thao tác của người dùng, kể cả các tìm kiếm, hành vi cuộn màn hình và tất cả những gì họ gõ trên bàn phím.

 

Các nhà nghiên cứu của Trung tâm chính sách công nghệ thông tin thuộc trường Đại học Princeton đã phân tích 50 ngàn website hàng đầu theo thống kê của Alexa và tìm thấy 482 trang, phần lớn là những trang có uy tín, đang sử dụng kỹ thuật mới cho phép theo dõi mọi hoạt động của người dùng.

Được đặt tên là "Session Replay", kỹ thuật này được đang được những trang web phổ biến nhất – trong đó có The Guardian, Reuters, Samsung, Al-Jazeera, VK, Adobe, Microsoft và WordPress,… sử dụng để ghi lại tất cả những hành động nhỏ nhất của khách ghé thăm, rồi gửi tới bên thứ ba để phân tích.

Các script "Session replay" thường được thiết kế để thu thập dữ liệu về hoạt động của người dùng, giúp những lập trình viên có thể nâng cao trải nghiệm người dùng. Tuy nhiên, điều đáng lo ngại là những công cụ đó ghi nhận mọi thông tin mà người dùng nhập vào trang web, kể cả những đoạn văn bản được gõ vào nhưng lại bị xoá đi trước khi nhấn nút “Submit”.

Dữ liệu được thu thập bởi các script của bên thứ ba có thể để lộ những thông tin nhạy cảm như tình trạng sức khoẻ, thông tin thẻ tín dụng,… Điều này có thể dẫn đến nạn đánh cắp định danh cá nhân, gửi thư điện tử lừa đảo và nhiều tệ nạn khác. Điều tệ hại nhất là thông tin thu thập không thể được ẩn danh. Một số công ty cung cấp phần mềm “Session replay” cho phép chủ các website liên kết trực tiếp những thông tin lưu lại với định danh thực của người dùng.

Các nhà nghiên cứu đã xem xét một số công ty cung cấp dịch vụ Session Replay hàng đầu - trong đó có FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar và Yandex – và nhận thấy phần lớn các dịch vụ này đều loại các trường mật khẩu khỏi danh sách theo dõi. Tuy nhiên, phần lớn các cửa sổ đăng nhập thân thiện với thiết bị di động không che giấu mật khẩu mà người dùng nhập vào nên không được loại trừ trong quá trình “replay”. Những thông tin nhạy cảm như mật khẩu, số thẻ tín dụng và mã bảo mật của thẻ tín dụng rất có thể bị ghi lại và chuyển cho bên thứ ba để phân tích.

Các nhà nghiên cứu tìm thấy ít nhất một website mà mật khẩu nhập trong mẫu đăng ký bị lộ cho SessionCam, dù người dùng chưa bấm nút gửi đi. Việc có nhiều công ty sử dụng các script “session replay” dù là với mục đích tốt đẹp cũng khiến dữ liệu bị thu thập trong khi người dùng không hề hay biết là dấu hiệu chứng tỏ họ không quan tâm đúng mức tới quyền riêng tư của người dùng. Một lần nữa, các quy định pháp luật và hiểu biết của người dùng cần được cập nhật để đối phó với những nguy cơ mất an toàn mà các công nghệ tiên tiến đem tới.

theo The Hacker News

Tin cùng chuyên mục

Tin mới