Centenas dos principais sites do mundo rastreiam rotineiramente o acionamento de cada usuário, o movimento do mouse e a inserção em um formulário da Web - mesmo antes de ser enviado ou posteriormente abandonado, de acordo com o resultados de um estudo de pesquisadores da Universidade de Princeton.
E há um efeito colateral desagradável: dados pessoais identificáveis, como informações médicas, senhas e detalhes de cartão de crédito, podem ser revelados quando os usuários navegam na Web - sem que eles saibam que as empresas estão monitorando seu comportamento de navegação. É uma situação que deve alarmar qualquer um que se importe com sua privacidade.
Os pesquisadores de Princeton descobriram que era difícil redigitar informações de identificação pessoal a partir de registros de comportamento de navegação - até mesmo, em alguns casos, quando os usuários tinham ativado configurações de privacidade, como Do Not Track.
A pesquisa encontrada que os serviços de rastreamento de terceiros são usados por centenas de empresas para monitorar como os usuários navegam em seus sites. Isso está se mostrando cada vez mais desafiador à medida que mais e mais empresas reforçam a segurança e transferem seus sites para páginas HTTPS criptografadas.
Para contornar isso, scripts de repetição de sessão são implantados para monitorar o comportamento da interface do usuário em sites como uma sequência de eventos com registro de data e hora, como movimentos de teclado e mouse. Cada um desses eventos registra parâmetros adicionais - indicando os pressionamentos de teclas (para eventos de teclado) e coordenadas de tela (para eventos de movimento do mouse) - no momento da interação. Quando associada ao conteúdo de um site e endereço da web, essa sequência registrada de eventos pode ser exatamente reproduzida por outro navegador que aciona as funções definidas pelo site.
O que isto significa é que uma terceira pessoa é capaz de ver, por exemplo, um usuário digitando uma senha em um formulário on-line - o que é uma clara violação de privacidade. Os sites que empregam empresas de análise de terceiros para registrar e reproduzir esse comportamento são, argumentam, em nome de “aprimorar a experiência do usuário”. Quanto mais eles souberem o que os usuários estão procurando, mais fácil será fornecer informações direcionadas.
Embora não seja novidade que as empresas estejam monitorando nosso comportamento à medida que navegamos na Web, o fato de os scripts estarem sendo implantados discretamente para gravar sessões individuais do navegador dessa maneira preocupou o coautor do estudo, Steven Englehardt, que é doutorando em Princeton. .
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
“A coleta de conteúdo da página por scripts de reprodução de terceiros pode fazer com que informações confidenciais, como condições médicas, detalhes do cartão de crédito e outras informações pessoais exibidas em uma página, vazem para terceiros como parte da gravação” , escreveu ele. “Isso pode expor os usuários ao roubo de identidade, fraudes on-line e outros comportamentos indesejáveis. O mesmo vale para a coleta de entradas do usuário durante os processos de checkout e registro. ”
Os keystrokes de registro de sites da Web têm sido um problema conhecido há algum tempo por especialistas em segurança cibernética. E o estudo empírico de Princeton levanta preocupações válidas sobre os usuários que têm pouco ou nenhum controle sobre seu comportamento de surfe sendo registrados dessa maneira.
Por isso, é importante ajudar os usuários a controlar como suas informações são compartilhadas on-line. Mas há cada vez mais sinais de usabilidade que superam as medidas de segurança projetadas para manter nossos dados seguros online.
Usabilidade vs segurança
Os gerenciadores de senhas são usados por milhões de pessoas para ajudá-los a manter facilmente um registro de senhas diferentes para sites diferentes. O usuário de tal serviço só precisa memorizar uma senha chave.
Recentemente, um grupo de pesquisadores Na Universidade de Derby e na Universidade Aberta, descobriu-se que os clientes off-line dos serviços gerenciadores de senhas corriam o risco de expor a senha da chave principal quando armazenada como texto simples na memória que poderia ser detectado ou descartado por ataques de sistema completos.
A experiência do usuário não é uma desculpa para tolerar falhas de segurança.
Sobre o autor
Yijun Yu, Docente Sênior, Departamento de Computação e Comunicações, A Universidade Aberta
Este artigo foi originalmente publicado em A Conversação. Leia o artigo original.
Livros relacionados:
at InnerSelf Market e Amazon