Centinaia di siti ‘spioni’ (anche italiani) registrano tutto quello che fate
I siti ci spiano molto più di quanto immaginiamo. A rivelarlo sono Steven Englehardt, Gunes Acar e Arvind Narayanan, tre ricercatori dell’Università di Princeton, che hanno analizzato 50mila siti tra quelli più utilizzati al mondo e hanno scoperto che centinaia di questi, tra cui uno italiano, utilizzano script che registrano ogni movimento dell’utente. I rischi? Molti: dal furto di identità all’esposizione alle truffe, sino alla collezione di dati sensibili.
Nell’indagine, la prima di una serie pubblicata a puntate e dal titolo “No boundaries”, a finire sotto accusa sono i servizi di session replay che registrano in modo maniacale e subdolo le azioni compiute dagli utenti. Dati che vengono collezionali e inviati a siti terzi, nello specifico alle stesse aziende produttrici degli script. Sette i software di registrazione delle sessioni analizzati dagli studiosi: quelli di FullStory, Hotjar, Yandex, Clicktale, SessionCam e Smartlook.
LA RICERCA
Partendo dalla classifica stilata da Alexa sui siti più visitati al mondo, Englehardt, Acar e Narayanan hanno visto che i 50mila portali più cliccati del globo utilizzano almeno uno tra i sette script ‘spioni’ incriminati.
I tre hanno costruito un bot e hanno passato al setaccio ogni pagina per cui veniva segnalata la presenza di script. Dopo diversi test hanno dimostrato che 842 siti web registrano dati sensibili come nome e cognome, informazioni personali come mail, password, numero di telefono e di carta di credito. Ma c’è di più: questi piccoli software sono in grado di registrare anche le lettere premute per compilare i campi di testo di un form, anche se poi non viene spedito.
Grazie ai test effettuati si è scoperto che tra uno script e l’altro esistono importanti differenze. Secondo lo studio i più invasivi sono quelli prodotti da Yandex e da FullStory, per due motivi distinti: il primo perché trasmette in chiaro la maggioranza delle informazioni, il secondo perché mette a disposizione delle aziende clienti anche uno strumento che permette loro di collegare i dati ottenuti alla reale identità.
LA LISTA I PRIMI 10MILA SITI
Quelli più ‘etici’ invece sembrano essere UserReplay e SessionCam perché di default bloccano la registrazione di tutti gli input dell’utente e tracciano solo i clic.
I RISULTATI
Tra gli 842 siti per cui è stato possibile verificare la registrazione di dati ci sono Hp.com, Comcast.net, Norton.com, Lenovo.com, Intel.com, Sputniknews.com (sito russo di informazione), Istockphoto.com, Windows.com, Sky.com, Fandango.com (azienda di produzione cinematografica), Kaspersky (azienda russa produttrice di software per la sicurezza informatica), Yoox (vendita online), Britishairways.com, Nintendo.com.
Esempio di come la pagina Bonobos colleziona i dati inseriti nei campi di testo
Ma a preoccupare è che nella lista compaiono anche portali come Walgreens.com, che è un sito medico, e Fidelity.com, che è di gruppo di investimenti finanziari.Nell’elenco ci sono anche 800 siti italiani che utilizzato gli script prodotti da queste sette aziende. Fra questi ci sarebbero Unicredit.it, Sky.it, Fastweb.it, Wind.it, Idealista.it e MyMovie.it. Ma solo per Sky.it è stata rilevata un’attività di registrazione del comportamento del visitatore, per gli altri invece non è stato possibile rilevarlo.
I RISCHI
“Che problemi può comportare tutto questo? – scrivono i tre nello studio – Molti. I dati raccolti da questi script possono causare la divulgazione di informazioni sensibili come le condizioni mediche, i dettagli della carta di credito e altre informazioni personali”. Ciò potrebbe esporre gli utenti a furti di identità, truffe online e altri problemi gravi. “Lo stesso vale per la raccolta di input dell’utente durante i processi di checkout e registrazione”, continuano i ricercatori.
“È piuttosto difficile per gli utenti capire cosa sta davvero succedendo a meno che non leggi attentamente la policy del sito sulla privacy”, ha spiegato Steven Englehardt a Motherboard. “Sono solo contento del fatto che gli utenti ora sono consapevoli delle tecniche usate e dei rischio cui sono esposti”. (fonte)
