16:49
23/11/2017

Śledzenie użytkowników stron internetowych weszło na nowy poziom wraz z pojawieniem się narzędzi, które nagrywają całą sesję użytkownika i prezentują ją w postaci filmu, tak jakby ktoś patrzył użytkownikowi przez ramię. Obrońców prywatności od dawna to martwi, ale badacze z Princeton University właśnie udowodnili, że naprawdę jest się czego obawiać.

“Nagrywanie użytkowników”, czyli co?

Twórców stron nie interesują już tylko suche dane statystyczne o tym, kiedy odwiedziłeś stronę, jak długo na niej byłeś, gdzie kliknąłeś i co wyszukałeś. Nowym trendem są narzędzia “nagrywania sesji” takie jak SmartLook.com, UserReplay.com czy SessionCam.com.

W pierwszej połowie tego roku niektórych polskich dziennikarzy zainteresował SmartLook. Pisała o nim m.in. Gazeta Prawna. Na stronie SmartLooka widzimy takie zachęty:

Odtwórz wideo nagrania odwiedzających i zobacz, co dokładnie robią na Twojej stronie internetowej. Pomoże Ci to odkryć błędy i dowiedzieć się, co trzeba poprawić. Widzisz ruch myszki odwiedzającego, gdzie kliknął i jak poradził sobie z wypełnieniem formularzy.

Niektóre osoby sądziły, że to narzędzie dosłownie nagrywa to co jest na ekranie użytkownika, zresztą tak sugeruje film reklamowy. W rzeczywistości tego typu technologia mierzy różne zdarzenia, np. ruchy myszy, przewijanie i monitoruje wciskane klawisze, aby na tej podstawie wygenerować film oddający zachowanie użytkownika. Nowatorstwo takich rozwiązań polega głównie na sposobie wizualizowania informacji o zachowaniach użytkownika zebranych przez skrypty.

Wątpliwości

W maju tego roku dyskutowaliśmy o problemie z przedstawicielami Fundacji Panoptykon. Katarzyna Szymielewicz wyraziła pogląd, że samo analizowanie ruchów myszki nie powinno mieć miejsca, bo nie jest konieczne do świadczenia usługi ani do własnego marketingu. Jej zdaniem na gruncie RODO będzie problem z tak szczegółową analityką i obrońcy prywatności będą takie technologie “atakować”.

My nie jesteśmy “obrońcami prywatności za wszelką cenę” (choć uważamy ja za istotny element bezpieczeństwa), zatem nie od razu byliśmy skłonni do krytykowania tej technologii. Widzimy dużo korzyści w tzw. badaniach focusowychużyteczności i bacznym obserwowaniu użytkowników korzystających z danej usługi, jeśli celem takich badań ma być poprawienie interfejsu czy użyteczności aplikacji.

Trzeba jednak przyznać rację Panoptykonowi — o ile uczestnicy badań focusowych wiedzą że są monitorowani, to wielu internautów nie ma świadomości, że wszystko co robią na niektórych stronach jest “nagrywane”. Wydawcy internetowi stosujący wspomniane wyżej narzędzia nie zawsze informują o nich wyraźnie w politykach prywatności. Oznacza to, że użytkownik może być nieświadomy, że strona zapisuje wszystkie wprowadzane przez niego dane, również te poprawione lub usunięte przed kliknięciem “Wyślij”, “OK” czy “Dalej”.

Jest też inny problem. Narzędzia takie jak SmartLook czy Hotjar mogą zapisywać imiona, nazwiska i adresy. “Tradycyjne” narzędzia analizy nie zbierają takich informacji. Poza tym wydawca może się dowiedzieć, że wpisałeś na stronie jeden adres i potem poprawiłeś na inny. Jeśli masz dwa mieszkania lub coś innego łączy Cię z kilkoma adresami, niekoniecznie musisz chcieć wszystkich o tym informować, tylko dla tego, że z rozpędu przez chwilę wpisałeś niewłaściwy adres i za chwilę się poprawiłeś.

Zdajemy sobie sprawę, że problem nie zawsze leży po stronie narzędzia do nagrywania sesji. Niektóre z nich starają się nie zapisywać pewnych wrażliwych danych (np. haseł czy numerów kart). Jak zwykle jednak, wiele zależy od wydawcy wdrażającego te narzędzia u siebie.

Badania

W ubiegłym tygoniu w serwisie Freedom to Tinker prowadzonym przez ekspertów z Princeton University pojawił się ciekawy raport na temat technologii “nagrywających”. Tekst nosi tytuł No boundaries: Exfiltration of personal data by session-replay scripts. Raport wskazuje, że technologie “nagrywające” zyskują na popularności, a poza tym mogą być bardziej wścibskie niż to konieczne. Dobrym wstępem do omówienia tematu może być ten film.

Zdaniem badaczy istnieje ryzyko zapisania przez skrypty danych wrażliwych, takich jak informacje o zdrowiu albo dane o karcie płatniczej. Co prawda usługi “nagrywające” obiecują nie zapisywać wrażliwych informacji, ale stosują do tego zarówno ręczne jak i automatyczne narzędzia dla wydawców. Nie zawsze skutecznie.

Badacze z Princeton stworzyli kilka stron, na których zainstalowali skrypty “nagrywające” od siedmiu różnych dostawców (Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale i SessionCam). Testy wykazały kilka problemów.

Hasła mogą być ujęte w nagraniach sesji

Teoretycznie hasła nie powinny być zapisane bo są maskowane. Poza tym dostawcy usług wyłączają z nagrywania pola “hasło”. Niestety to ograniczenie nie obejmuje rozwiązań dla stron mobilnych, które pozwalają na logowanie bez maskowania hasła. Tylko od wydawcy zależy, czy “ręcznie” doda tagi wyłączające te pola z nagrywania. Badacze zidentyfikowali przynajmniej jedną stronę, gdzie hasło wprowadzone do formularza rejestracyjnego zostało nagrane, niezależnie od wysłania tego formularza.

Niedoskonałe automaty

Narzędzia do nagrywania mają automatyczne zamazywanie informacji osobistych/wrażliwych. Niestety znów wiele zależy od wydawcy np. FullStory zamazuje pola na dane kartowe, jeśli zawierają one atrybut autocomplete ustawiony na cc-number. Jeśli formularz nie będzie miał tego atrybutu, numer karty zostanie zapisany.

Zróżnicowane praktyki

Praktyki w zakresie maskowania są bardzo zróżnicowane. Przykładowo UserReplay z reguły maskuje wrażliwe dane czymś, co odpowiada długości wpisywanego tekstu. Podobnie robi SesionCam, choć ten drugi dostawca przynajmniej całkowicie zamazuje hasła. Co prawda Smartllok, Yandex, FullStory, SessionCam i Hotjar pozwalają wydawcom stron na wskazanie elementów do wyłączenia z nagrywania, ale efektywne wdrożenie tego zabezpieczenia wymaga ciągłego monitorowania jego skuteczności, za każdym razem gdy zmienia się kod aplikacji. Niezamierzone lub zamierzone niedociągnięcia nie są wykluczone.

Formularze to nie wszystko

Zamazywaniu automatycznemu podlegają informacje wprowadzane przez użytkownika, ale nie te wyświetlane przez stronę. Ten drugi rodzaj informacji wydawcy mogą zamazać ręcznie i tylko ręcznie. To nie jest optymalne z punktu widzenia bezpieczeństwa danych i dane wrażliwe mogą się znaleźć na nagraniach. Poniżej bardzo obrazowy przykład.

Jeśli dzięki skryptom nagrywającym wrażliwe dane mogą być zachowane przez wydawców stron, równie dobrze mogą wyciec. Problem nie kończy się na tym, że wydawca przetwarza dane bez wyraźnej zgody.

Nasi Czytelnicy naturalnie zadadzą sobie pytanie “Co robić, jak żyć”. Część z nich dojdzie do wniosku, że rozwiązaniem są narzędzia do blokowania skryptów (w tym adblokery). Słusznie, ale byłoby  lepiej, gdyby wydawcy stron informowali o nagrywaniu, albo gdyby dostawcy rozwiązań “nagrywających”  reagowali na ustawienia Do Not Track w przeglądarce. W chwili obecnej UserReplay reaguje na DNT, ale nie jest to dobrze ustanowiona rynkowa praktyka.

Jeśli chcecie zgłębić temat to na stronie webtransparency.cs.princeton.edu znajdziecie szczegółowy wykaz danych i zastosowanej metodologii.

Aktualizacja, 24.11.2017, godz. 12:56

Przedstawicielka SmartLooka – Amy Strada – przesłała do nas poniższe oświadczenie o zmianie praktyk u tego dostawcy narzędzi do “nagrywania”.

I wanted to update you on changes we made in the last 24 hours that affect the facts of the story. (We’ve also reached out to Princeton’s CITP.)

We’re now completely running on HTTPS, and we’ve changed our password masking to hide password field input lengths.

You can read more about it and our stance on user privacy in our official statement on the subject: https://www.smartlook.com/blog/smartlook-protect-user-privacy/

Again, thanks! If you might need anything else from me, feel free to reach out.

Tutaj wyjaśnijmy, że w artykule Princeton (na którym się opieraliśmy) wytknięto Smartlookowi nieużywanie SSL na stronie Smartlook Playera. Poprawienie tego było w planach, ale twórcy SmartLooka zrobili to szybciej ze względu na artykuł Princeton University. Poprawiono też inne komponenty SmartLooka m.in. dodano takie maskowanie hasła, które już nie ujawnia jego długości. Przedstawiciele SmartLoooka podkreślają też, że będą starali się zapewnić zgodność swojego narzędzia z RODO (unijnym rozporządzeniem o ochronie danych).

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Skoro dane dane są dostępne z poziomu JS to należy zakładać, że twórca strony ma do nich dostęp jeśli nie wyłączyliśmy JS. Niezależnie od DNT, polityk prywatności itp.
    Jedyne czemu można ufać (a i to nie do końca) to wyłączenie JS lub blokowanie pewnych funkcji przez przeglądarkę.

    Ech, gdzie te stare dobre czasy kiedy strony internetowe były dokumentami tekstowymi z obrazkami a nie aplikacjami…

    • Wystarczy uMatrix + blokada niechcianych skryptów i ciasteczek.

    • Jakie polecacie piaskownice na linux jako dodatkową ochronę ? Coś podobnego do sandbox-a ?

  2. W sumie tego się można było spodziewać. Jest możliwość, więc tworzy się rozwiązania.
    Nie wiadomo tylko jak z tego problemu wybrnąć, bo uchwalić prawo w rodzaju powiadomienia o ciasteczkach łatwo, ale efekt może być taki, że wszystkie strony na wszelki wypadek dadzą komunikat i znów prawo będzie martwe.

  3. Badania focusowe vs takie “nagrywanie” użytkownika w jego naturalnym środowisku mogą dać bardzo rozbieżne wyniki. Jakościowo te naturalne będą wartościowsze.

    A co do samych nagranych interakcji, ryzyka jednak nie da się uniknąć bo te interakcje są wymagane do działania stron. Jeśli nie będzie się dało wychwycić co użytkownik wpisuje, albo czy przewija stronę to bardzo dużo fajnych funkcjonalności nie będzie dostępnych. Wrócimy wtedy do czasów stron statycznych, bez interakcji z użytkownikiem (chociaż może to nie było takie złe ;-) ).

    Trzeba mieć po prostu świadomość tego co się robi na stronach, że to może zostać przechwycone. Zatem na stronie forum hakerskiego nie wklejamy sobie hasła do poczty na chwilę do pola komentarza zanim wkleimy je w kolejnej karcie, na właściwej stronie.
    Podobnie jak wchodząc do sklepu, poruszając się po cudzym terenie możemy być nagrywani przez CCTV, tak samo tutaj. Różnica tylko taka, że kamery zwykle widać i jest jakiś znak o monitorowaniu. A info o Privacy Policy trzeba szukać.

  4. o to ja im tam powpisuję takie rzeczy, że się zdziwią jak to zapisują ;> zawsze można zainteresować różne służby słowami kluczowymi… ;p

    • “plecak, szybkowar, bomba…”

    • @PanKracy
      Pan prezydent Duda jest bombowy. Ma takie wystrzałowe przemówienia, że można wybuchnąć entuzjazmem. Śmierć na miejscu. Ciekawe, czy premier Szydło interesuje się dopłatami unijnymi do nawozów, szczególnie do azotanu potasu. Saletrę eksportujemy przecież do krajów islamskich, gdzie nawożą nią krzewy granatu. Nasiona granatnika mogą mieć nawet 9mm długości. Na narty najlepsza jest kominiarka. Podaj dalej.

  5. Czyli kolejne skrypty do blokowania w adblocku.

  6. FF57 i nowy NoScript to porażka. Na twórców wtyczki sypią sie gromy.
    https://addons.mozilla.org/pl/firefox/addon/noscript/reviews/?src=api

    Pozostaje pytanie- czym blokować skrypty. Niby jest umatrix, ale wolałbym cos prostego jak stary no script.

    Mozna przejść na palemoon, ale to rozwiązanie ma równiez minusy- jak łatwiejsze śledzenie przez zawężony fingerprint i raczej mniej bezpieczne niż główne wydanie FF.

    A może ktos sie zlituje i zrobi fork FF56?

    • Ludzie od PaleMoona zrobili taki fork, nazywa się Basilisk. Jeszcze nie próbowałem więc nie wim na ile działa.

  7. Czy taki skrypt “nagrywający” może zostać rozszerzony o funkcjonalności pozwalające na rejestrowanie naszej aktywności (bez naszej wiedzy i zgody) np. w innych aktualnie otwartych zakładkach/oknach lub wręcz stanie się “pełnoprawnym” keyloggerem? Zastanawia mnie po prostu jak daleko można rozwijać tę “genialną” ideę.

    • jesli przegladarka jest dobrze napisana to z jednej karty nie masz dostepu do tego co sie dzieje w innych.

  8. Czy jest gdzieś lista tych stron co nagrywają?

  9. To nic nowego od dobrych paru lat korzystam na różnych stronach zwłaszcza przy nowych wdrożeniach. Taki hotjar to bardzo użyteczne narzędzie uiksowców. Kwestie prywatności faktycznie są tutaj dyskusyjne a zamazywanie danych bardzo często zawodzi. Miny zwykłych ludzi którym pokazywałem takie filmiki bezcenne :).

    • Hotjar jest w easyPrivacy na ublocku. Więc chyba faktycznie niezłe narzędzie.

  10. Badania focusowe nie polegają na obserwacji co robią użytkownicy tylko jakie mają opinie.

    Zachowanie użytkownika bada się w badaniach użyteczności. Poprawcie to proszę. :(

  11. Zachowujecie się jak rasowi komuniści. Wymyślacie sobie problem, a później pokazujecie Światu jak z nim walczycie.

    PS.
    Fundacja Panoptikum powinna sobie zorganizować jakąś zrzutę na nowe mózgi dla pracowników albo się rozwiązać, bo jest potrzebna jak w Porsche dyszel.

  12. No i co, foliarze, myślicie, że ktoś tam siedzi 24 godziny na dobę i zapisuje wasze hasła i karty, którymi płacicie za oglądanie gołych bab w internecie?

    W przeciętnym polskim mieście jesteście nagrywani przez co najmniej 5-6 kamer dziennie (w dużych miastach sporo więcej) podczas robienia zakupów, płacenia, wyplacania pieniędzy itp. a przeszkadza wam nagranie jak scrollujecie wykop albo inne śmieszne kotki?

    Widzę foliarstwo wchodzi na nowy poziom.

    • [ironia mode]
      Oczywiście, że nie!
      Nikogo nie obchodzą numery kart kredytowych ani hasła. Ludzie są z natury dobrzy albo zbyt leniwi by kraść, a złe rzeczy się nie wydarzają.

      Masz 100% racji. Nie ma się co przejmować tym, że ktoś gdzieś przetwarza i pobiera czyjeś dane bez zgody. Przecież nic złego się nie wydarzy
      [ironia mode]

    • Jonasz, jesteś tzw. “pożytecznym idiotą”, czy może opłacanym (vide ruskim) trollem? W Twoim przypadku i przy Twoich argumentach nie widzę trzeciej opcji. Jeśli wpadasz w to pierwsze, to nie ma słów, aby przekonać kogoś takiego do czegokolwiek innego. Jeśli w to drugie, wystarczy kasa, kasa… kasa.

      Jonasz, a może tak naprawdę naukę historii zakończyłeś, jak większość, na II Wojnie Światowej? Stąd ten brak refleksji i nieumiejętność czerpania z doświadczeń 2-3 pokoleń wstecz? A może te pokolenia to dziadkowie na stanowiskach, którzy dziś woleliby milczeć? Skąd biorą się tacy jak Ty?

      Jonasz, pieprzyć chorą prywatność, napisz jak się naprawdę nazywasz. Dlaczego miałbyś być foliarzem ukrywającym się za zmyślonym nickiem? Masz coś do ukrycia? Jeśli Twoje imię i nazwisko nosi także ktoś inny, podaj PESEL albo i nr dowodu osobistego. Udowodnij, że nie jesteś foliarzem. Udowodnij.

      Czekam.

  13. No dobra, ale te blockery (a przynajmniej uBlock, AB, ABP) są wykrywane przez strony i niektórych w ogóle nie da się używać dopóki nie wrzucę do whitelist. Jest jakaś metoda która blokuje niechciane skrypty, nie informuje o tym strony, a przy tym zachowuje funkcjonalność?

    • Jedne strony są głupiutkie i metoda xBlock’a działa – inne się wycwaniły i nie działa.
      Mamy wtedy te śmieszne “nie ma wolności mediów bez oglądalności reklam” …

      Ale sposób jest, karmić je w tle jakimiś bzdurami a wyświetlać czystą strone.

      Problem a właściwie pytanie brzmi: czy xBlockery mają mieć za zadanie wyczyszczenie strony z reklam, czy oprócz wyczyszczenia jeszcze chronić prywatność i zabezpieczać komputer przez złośliwymi skryptami – wtedy sytuacja się komplikuje prawie do niemożliwej do zaprogramowania ;-) Niestety…

    • Dla mnie problem wykrywania adblockerów jest trywialny – jeżeli strona się “blokuje” na widok mojej przeglądarki to pewnie jest tak zasypana reklamami w najgorszym formacie, że i tak nie chcę na to patrzeć. Dzięki takiej kampanii przykładowo przestałem tracić czas na kwejku. ;)

      Innymi słowy – nie martw się o szukanie ciekawych stron, te gówniane same się odfiltrują.

    • @Borek
      Tak właśnie przestałem korzystać z wp.pl. Walić to że jeden artykuł portal wracał co kilka miesięcy jako nowy. Gdy zobaczyłem komunikat, że muszę obejrzeć reklamę żeby zobaczyć ich materiał, stwierdziłem, że nigdy więcej. Jeżeli strona jest dobra to obroni się sama. Bez zmuszania mnie do czegokolwiek. I od tego czasu jestem odrobinę szczęśliwszym człowiekiem.
      Ps. polecam uMatrix i KeyScrambler

  14. zrobilem kwerende internetu i wyglada to tak jesli chodzi o polski internet:

    evidence of session recording
    home.pl
    bankier.pl

    analytics script exists:
    ceneo.pl
    kwejk.pl
    money.pl
    demotywatory.pl
    natemat.pl
    jbzd.pl
    benchmark.pl
    goldenline.pl
    spidersweb.pl
    bzwbk.pl

  15. Coś wybrakowana ta twoja lista. Polskie domeny z top 10,00 Alexa
    https://pastebin.com/TpSFRBnu

  16. Wydawca to raczej gazety/czasopisma, a nie strony internetowej.

  17. A czy np. zablokowanie tych stron usługodawców (np. hotjar.com itp) coś pomoże?

    • Oczywiście – uMatrix domyślnie blokuje większość z nich; po lekturze tego tekstu i komentarzy pod nim dodałem jeszcze brakujące domeny – i załatwione.

    • jasc jak to zrobić?

  18. Używam Yandexa do analityki to i nagrywa sesje userów. Skoro można tego narzędzia legalnie używać w normalnym, to zakładam, że nie naginam zasad c’nie?

  19. Mnie sam fakt zbierania tych danych jakoś bardzo nie burzy – zbieranie eventów z okna przeglądarki nie wydaje mi się jakimś mega naruszeniem prywatności, a bezpieczeństwo to kwestia zaufania między podmiotami, które sobie do tych danych dają dostęp. A takiego udostępniania danych jest i tak pełno poza oknem przeglądarki. Bardziej denerwuje mnie że takie wymysły marnują mi baterię w laptopie i zmuszają do jego wymiany co kilka lat.

    • Masowe naruszanie prywatności i bezpieczeństwa danych (w tym finansowych: loginy, hasła) nie burzy kogoś, kto ukrywa swoje prawdziwe dane pod nickiem Aaa…

      Haha… hahaa…

      Czasem zastanawiam się, czy magazynowanie informacji o każdym, kiedyś nie przyda się aby odseparować tego typu siewców hipokryzji od reszty społeczeństwa. Za 30 lat pozostanie przyznać się do błędów lub do końca, lojalnie, siedzieć cicho.

      Przez udostępnianie danych bateria mi pada, więc muszę wymieniać ją co kilka lat!. Aaa! Przez masową inwigilację tracę energię… to gorsze od stresu z powodu utraty majątku. Aaa!

      Przybrałeś nick adekwatny do dramatu jaki możesz przeżyć. Szczerze wierzę w to, że tak naiwni są tylko ludzie bardzo młodzi.

  20. “Klient wyraża zgodę na umieszczenie swoich danych osobowych w bazie danych sklepu (…) oraz na ich przetwarzanie dla celów realizacji zamówienia.”
    Czy w takim przypadku export danych osobowych na zewtnątrz tego sklepu, przez np. smartsupp, to już łamanie prawa czy jeszcze nie?

    smartsupp(’email’, ‘adres@emailcom’);
    smartsupp(‘name’, ‘Jan Kowalski’);

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: