如果你在上网的时候有种被盯着看的错觉,那很可能其实不是错觉。一项新的研究显示,有数百个热门网站会追踪使用者的点击、鼠标移动、滚轮和输入的内容,甚至包括输入后删掉或未送出的文字。
这些网站的使用纪录由第三方分析服务提供,目的是为了让网站营运商可以更完整的了解访问者如何使用网站,并找出有问题的网页。这些分析纪录允许第三方网站和营运商重看任何一个个人的浏览内容,所有的点击、滚动和输入都会被记录并重复拨放。透过第三方分析纪录的重播去收集网页浏览者的使用习惯,可能会导致包含个人资料、信用卡和医疗资料等敏感的资讯外泄给第三方,造成盗用身份、网络诈骗和其他问题。
11 月 15 日公布的研究报告显示,最多人浏览的 5 万个网站中至少有 482 个有这种追踪功能,其中包含软件巨头微软(Microsoft)和 Adobe 的官网、电子大厂三星(Samsung)和华硕(Asus)的官网以及热门游戏英雄联盟(League of Lengends)的官网,不过这些网站通常不会告知使用者这件事。要检查出这种功能并不容易,因此实际具备分析纪录的网站数量更高于这个数字。
▲ FullStory 追踪分析功能的使用影片。
报告研究者 Steven Englehardt 选择了 6 种最普遍的第三方分析功能,发现多多少少都有资料外泄的问题。其中以 FullStory、Hotjar、Yandex 和 Smartlook 最侵犯隐私,所有输入的敏感资讯都会被记录下来。Smartlook 和 UserReplay 都会记录密码的字数,而 UserReplay 还会记录信用卡后 4 码。例如药局 walgreens.com 和第三方分析服务 FullStory 合作,因此从 FullStory 端能够看到用户的名字和处方,得以轻松偷窥用户的医疗状况。
▲ 6 种第三方分析对个人资料的纪录状况,白色圆圈代表直接记录,黑白各半代表会提供等长度的遮蔽,黑圈代表不会记录。(Source:Freedom to Tinker)
目前尚未确定哪些机制能够完全阻挡这种追踪纪录,有些广告拦截软件可以过滤部分的追踪但无法封锁全部,浏览器提供的追踪保护功能也不能阻挡全部的追踪纪录。这代表你在网络上的一举一动和输入的每个字都会被记录,即使你没送出或是根本就删掉了也一样。如果想要知道还有哪些网站会在你上网的时候偷窥你,这里有完整的网站名单。
在有东西可以保护你之前,请牢牢记住这一点,你很可能在网络上裸奔。
- No, you’re not being paranoid. Sites really are watching your every move
- No boundaries: Exfiltration of personal data by session-replay scripts
(首图来源:pixabay)
延伸阅读:
- 数位药丸追踪服药,专家忧有害病患隐私
- WeChat 微信更新隐私政策,用户资料提交中国政府
- 当你进行脸部辨识时,隐私已泄露得差不多了
