Como alguns sites assistem cada movimento e ignoram as configurações de privacidade

Centenas dos principais sites do mundo rastreiam rotineiramente o acionamento de cada usuário, o movimento do mouse e a inserção em um formulário da Web - mesmo antes de ser enviado ou posteriormente abandonado, de acordo com o resultados de um estudo de pesquisadores da Universidade de Princeton.

E há um efeito colateral desagradável: dados pessoais identificáveis, como informações médicas, senhas e detalhes de cartão de crédito, podem ser revelados quando os usuários navegam na Web - sem que eles saibam que as empresas estão monitorando seu comportamento de navegação. É uma situação que deve alarmar qualquer um que se importe com sua privacidade.

Os pesquisadores de Princeton descobriram que era difícil redigitar informações de identificação pessoal a partir de registros de comportamento de navegação - até mesmo, em alguns casos, quando os usuários tinham ativado configurações de privacidade, como Do Not Track.

A pesquisa encontrada que os serviços de rastreamento de terceiros são usados ​​por centenas de empresas para monitorar como os usuários navegam em seus sites. Isso está se mostrando cada vez mais desafiador à medida que mais e mais empresas reforçam a segurança e transferem seus sites para páginas HTTPS criptografadas.

Para contornar isso, scripts de repetição de sessão são implantados para monitorar o comportamento da interface do usuário em sites como uma sequência de eventos com registro de data e hora, como movimentos de teclado e mouse. Cada um desses eventos registra parâmetros adicionais - indicando os pressionamentos de teclas (para eventos de teclado) e coordenadas de tela (para eventos de movimento do mouse) - no momento da interação. Quando associada ao conteúdo de um site e endereço da web, essa sequência registrada de eventos pode ser exatamente reproduzida por outro navegador que aciona as funções definidas pelo site.

O que isto significa é que uma terceira pessoa é capaz de ver, por exemplo, um usuário digitando uma senha em um formulário on-line - o que é uma clara violação de privacidade. Os sites que empregam empresas de análise de terceiros para registrar e reproduzir esse comportamento são, argumentam, em nome de “aprimorar a experiência do usuário”. Quanto mais eles souberem o que os usuários estão procurando, mais fácil será fornecer informações direcionadas.

innerself assinar gráfico

Embora não seja novidade que as empresas estejam monitorando nosso comportamento à medida que navegamos na Web, o fato de os scripts estarem sendo implantados discretamente para gravar sessões individuais do navegador dessa maneira preocupou o coautor do estudo, Steven Englehardt, que é doutorando em Princeton. .

 Um demo de replay do usuário do website em ação.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

“A coleta de conteúdo da página por scripts de reprodução de terceiros pode fazer com que informações confidenciais, como condições médicas, detalhes do cartão de crédito e outras informações pessoais exibidas em uma página, vazem para terceiros como parte da gravação” , escreveu ele. “Isso pode expor os usuários ao roubo de identidade, fraudes on-line e outros comportamentos indesejáveis. O mesmo vale para a coleta de entradas do usuário durante os processos de checkout e registro. ”

Os keystrokes de registro de sites da Web têm sido um problema conhecido há algum tempo por especialistas em segurança cibernética. E o estudo empírico de Princeton levanta preocupações válidas sobre os usuários que têm pouco ou nenhum controle sobre seu comportamento de surfe sendo registrados dessa maneira.

Por isso, é importante ajudar os usuários a controlar como suas informações são compartilhadas on-line. Mas há cada vez mais sinais de usabilidade que superam as medidas de segurança projetadas para manter nossos dados seguros online.

Usabilidade vs segurança

Os gerenciadores de senhas são usados ​​por milhões de pessoas para ajudá-los a manter facilmente um registro de senhas diferentes para sites diferentes. O usuário de tal serviço só precisa memorizar uma senha chave.

Recentemente, um grupo de pesquisadores Na Universidade de Derby e na Universidade Aberta, descobriu-se que os clientes off-line dos serviços gerenciadores de senhas corriam o risco de expor a senha da chave principal quando armazenada como texto simples na memória que poderia ser detectado ou descartado por ataques de sistema completos.

A ConversaçãoA experiência do usuário não é uma desculpa para tolerar falhas de segurança.

Sobre o autor

Yijun Yu, Docente Sênior, Departamento de Computação e Comunicações, A Universidade Aberta

Este artigo foi originalmente publicado em A Conversação. Leia o artigo original.

Livros relacionados:

at InnerSelf Market e Amazon