Centinaia di siti spioni registrano tutto
A rivelarlo sono Steven Englehardt, Gunes Acar e Arvind Narayanan, tre ricercatori dell’Università di Princeton, che hanno analizzato 50mila siti tra quelli più utilizzati al mondo e hanno scoperto che centinaia di questi, tra cui uno italiano, utilizzano script che registrano ogni movimento dell'utente. Molti i rischi: dal furto di identità all’esposizione alle truffe, sino alla collezione di dati sensibili.
Nell’indagine, a finire sotto accusa sono i servizi di session replay che registrano le azioni compiute dagli utenti. I dati vengono collezionati e inviati a siti terzi, nello specifico alle stesse aziende produttrici degli script. Sette i software di registrazione delle sessioni analizzati dagli studiosi: quelli di FullStory, Hotjar, Yandex, Clicktale, SessionCam e Smartlook.
I tre ricercatori hanno costruito un bot e hanno passato al setaccio ogni pagina per cui veniva segnalata la presenza di script. Dopo diversi test hanno dimostrato che 842 siti web registrano dati sensibili e che questi piccoli software sono in grado di registrare anche le lettere premute per compilare i campi di testo di un form, anche se poi non viene spedito.
Tra uno script e l'altro esistono importanti differenze: i più invasivi sono quelli prodotti da Yandex e da FullStory; il primo trasmette in chiaro la maggioranza delle informazioni, il secondo mette a disposizione delle aziende clienti anche uno strumento che permette loro di collegare i dati ottenuti alla reale identità.
Quelli più 'etici', invece, sembrano essere UserReplay e SessionCam perché di default bloccano la registrazione di tutti gli input dell'utente e tracciano solo i clic.
Tra gli 842 siti per cui è stato possibile verificare la registrazione di dati ci sono Hp.com, Comcast.net, Norton.com, Lenovo.com, Intel.com, Sputniknews.com (sito russo di informazione), Istockphoto.com, Windows.com, Sky.com, Fandango.com (azienda di produzione cinematografica), Kaspersky (azienda russa produttrice di software per la sicurezza informatica), Yoox (vendita online), Britishairways.com, Nintendo.com.
Nella lista compaiono anche portali come Walgreens.com, sito medico, e Fidelity.com, del gruppo di investimenti finanziari. Anche 800 siti italiani utilizzato gli script prodotti da queste sette aziende, fra cui Unicredit.it, Sky.it, Fastweb.it, Wind.it, Idealista.it e MyMovie.it. Ma solo per Sky.it è stata rilevata un'attività di registrazione del comportamento del visitatore, per gli altri invece non è stato possibile rilevarlo.
Nell’indagine, a finire sotto accusa sono i servizi di session replay che registrano le azioni compiute dagli utenti. I dati vengono collezionati e inviati a siti terzi, nello specifico alle stesse aziende produttrici degli script. Sette i software di registrazione delle sessioni analizzati dagli studiosi: quelli di FullStory, Hotjar, Yandex, Clicktale, SessionCam e Smartlook.
I tre ricercatori hanno costruito un bot e hanno passato al setaccio ogni pagina per cui veniva segnalata la presenza di script. Dopo diversi test hanno dimostrato che 842 siti web registrano dati sensibili e che questi piccoli software sono in grado di registrare anche le lettere premute per compilare i campi di testo di un form, anche se poi non viene spedito.
Tra uno script e l'altro esistono importanti differenze: i più invasivi sono quelli prodotti da Yandex e da FullStory; il primo trasmette in chiaro la maggioranza delle informazioni, il secondo mette a disposizione delle aziende clienti anche uno strumento che permette loro di collegare i dati ottenuti alla reale identità.
Quelli più 'etici', invece, sembrano essere UserReplay e SessionCam perché di default bloccano la registrazione di tutti gli input dell'utente e tracciano solo i clic.
Tra gli 842 siti per cui è stato possibile verificare la registrazione di dati ci sono Hp.com, Comcast.net, Norton.com, Lenovo.com, Intel.com, Sputniknews.com (sito russo di informazione), Istockphoto.com, Windows.com, Sky.com, Fandango.com (azienda di produzione cinematografica), Kaspersky (azienda russa produttrice di software per la sicurezza informatica), Yoox (vendita online), Britishairways.com, Nintendo.com.
Nella lista compaiono anche portali come Walgreens.com, sito medico, e Fidelity.com, del gruppo di investimenti finanziari. Anche 800 siti italiani utilizzato gli script prodotti da queste sette aziende, fra cui Unicredit.it, Sky.it, Fastweb.it, Wind.it, Idealista.it e MyMovie.it. Ma solo per Sky.it è stata rilevata un'attività di registrazione del comportamento del visitatore, per gli altri invece non è stato possibile rilevarlo.