Facebook reklam amaçlı olarak telefonlarımızı mı dinliyor [1]? Google tüm aramalarımızı mı kaydediyor? Bunlar zaman zaman yayınladığımız haberler ama aslında daha ilerisi olduğu söyleniyor. Princeton Üniversitesinde yapılan yeni bir araştırmaya göre, popüler sitelerin hemen hepsi, aramalarınız, kaydırma davranışınız, tuş vuruşlarınız ve hareketleriniz de dahil olmak üzere her hareketinizi kaydediyor.
Princeton Üniversitesi Bilgi Teknolojisi Politikaları Merkezi’nden (CITP) araştırmacılar 50.000 kadar web sitesini analiz etti ve çoğu yüksek profilli 482 sitenin kullanıcılarının her hareketini takip etmek için yeni bir web izleme tekniği kullandıklarını keşfettiler.
Bu teknik, “Oturum Replay” olarak adlandırıldı; bir web sayfasında gezinirken ziyaretçinin yaptığı her hareketi kaydederek bu çok kapsamlı verileri üçüncü bir tarafa gönderiyor. Kullananlar içinde Adobe, Microsoft, WordPress, The Guardian, Reuters, Samsung, El Cezire, VK gibi popüler web sitelerinin hepsi var.
“Oturum tekrar oynatma komut dosyaları” genellikle web sitesi geliştiricileri tarafından son kullanıcı deneyimini iyileştirmek için kullanılabilecek verileri toplamak üzere geliştirilmiş durumda. Ancak, bunların haddinden fazla yani kullanıcıların vermeyi kabul ettiğinin dışında veriler topladığı belirtiliyor. Mesela, bir form doldurduğunuzu ve son anda vazgeçtiğinizi düşünün. Karşınızdaki site bunu da görebiliyor. Üstelik araştırmaya göre, bu tekniği kullanan site sayısı gitgide artıyor.
Bu komut dosyaları, ziyaret ettiğiniz sayfaların tüm içeriğiyle birlikte tuş vuruşlarınızı, fare hareketlerini ve kaydırma davranışınızı kaydediyor ve analiz için bir takım sunuculara gönderiyor. Princeton araştırmacısı Steven Englehardt bu konuyu anlatan bir blog yazısında yazdı [2].
“Bu teknik, bir sayfada görüntülenen tıbbi koşullar, kredi kartı ayrıntıları ve diğer kişisel bilgiler gibi hassas bilgilerin, kayıt sırasında üçüncü tarafa sızdırılmasına neden olabilir. Bu, kullanıcıların kimlik hırsızlığına maruz kalmasına neden olabilir, çevrimiçi dolandırıcılık ve diğer istenmeyen davranışlar meydana gelebilir.”
Araştırmacılar, “oturumu tekrar oynatma” yazılımı sunan FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar ve Yandex gibi şirketlere baktı ve bu hizmetlerin çoğunun doğrudan şifre giriş alanlarını kayıttan hariç tuttuğunu tespit etti. Diğer bir deyişle, web sitesi sahiplerinin, kayıtları bir kullanıcının gerçek kimliğine açıkça bağlamasına izin veriyor.
Maskelenmemiş parolaları saklamak için metin girişleri kullanan, mobil dostu oturum açma formları, parolalar, kredi kartı numaraları ve kredi kartı güvenlik kodları gibi hassas verileri açığa çıkarabiliyor. Araştırmacılar “Gönderilmemiş bir formun, kaydedildiği en az bir web sitesi bulduk” dedi. Araştırmacılar ayrıca, bu oturum kayıt komut dosyalarının bir web sitesinin ziyaretçisinde ne kadar fazla bilgi toplayabileceğini gösteren bir video paylaştılar.
Niyetlerin iyi bile olsa, oturum yeniden oynatma komut dosyalarını kullanan bir sürü önemli firma var ve bu veriler kullanıcının bilgisi dışında olduğundan, anlaşılan bu web siteleri kullanıcılarının gizliliklerini önemsemiyor. Yanısıra, bu tür verilerin yanlış ellere düşme ihtimali her zaman vardır.
Dolayısıyla, bilin ki, bu web sitelerinden birinde oturum açıyorsanız, gönderseniz de göndermeseniz de, yazdığınız, veya taşıdığınız her şey kaydediliyor olabilir.
No boundaries: Exfiltration of personal data by session-replay scriptshttps://t.co/JA1CJpNdGg
Simultaneously excited to reveal this research and depressed about the state of the web.— Arvind Narayanan (@random_walker) November 15, 2017
[2] No boundaries: Exfiltration of personal data by session-replay scripts
Kaynak : 