Pesquisa em Princeton Revela que os Principais Sites estão Registrando Dados Pessoais dos Usuários

Um estudo realizado pelo Centro de Política de Tecnologia da Informação (CITP) de Princeton revelou na semana passada que alguns dos sites mais populares estão registrando informações para seus visitantes que vão muito além do rastreamento conhecido do comportamento do usuário para fins analíticos. Agora, verifica-se que um número crescente de sites está usando os chamados scripts de "repetição de sessão" - outro tipo de script de análise de terceiros que, no entanto, expõe dados confidenciais do usuário, como senhas e outros detalhes pessoais, ao uso indevido. Esses scripts não se destinam a fornecer estatísticas agregadas; em vez disso, os scripts de "repetição de sessão" são desenvolvidos para gravar e reproduzir sessões de navegação individuais, para que o comportamento on-line de usuários individuais da Internet possa ser rastreado. Em alguns casos, é até possível vincular uma gravação à identidade real do usuário. Juntamente com a gravação de pressionamentos de tecla, comportamento de rolagem de página e movimentos do mouse, os scripts registram todo o conteúdo das páginas visitadas pelo usuário e enviam essas informações para um servidor de terceiros. Especialistas alertam que esses dados podem facilmente ser expostos em painéis que nem sequer são protegidos por HTTPS.

Obviamente, toda a coleta de dados está acontecendo sem aviso prévio para o usuário que normalmente não espera obter nomes de usuário, senhas, números de cartão de crédito, condições médicas e todos os tipos de outros dados confidenciais, exfiltrados e mal utilizados por algum site altamente classificado. No entanto, o estudo mostra que os questionáveis serviços de "repetição de sessão" não são salvos apenas em fóruns russos duvidosos, mas também são encontrados em 482 dos 50.000 principais sites da Alexa, entre os quais sites como The Telegraph, Norton, Lenovo, Intel, Xfinity , e muitos outros. O que torna as coisas ainda piores, a maioria desses sites nem sabia que estavam usando esse tipo de script.

Oficialmente, os scripts de "reprodução de sessão" devem melhorar a experiência geral do usuário, coletando informações sobre como o usuário interage com um site e descobrindo sites quebrados ou confusos. No entanto, o tipo de dados gravados e a maneira como são tratados sugerem que as coisas podem dar errado em algum momento, expondo os usuários a riscos ilimitados. Na pior das hipóteses, as gravações podem vazar para terceiros e levar ao roubo de identidade e a todos os outros tipos de crimes cibernéticos em que se pode pensar.

Embora as empresas que oferecem serviços de reprodução permitam aos editores de sites redigir que tipo de dados são registrados e possivelmente excluir informações confidenciais das gravações, isso não protege os dados do usuário. O relatório CITP mostra que essa redação é complicada e requer tempo e esforço adicionais, pois os editores precisam verificar todas as páginas que exibem ou aceitam informações do usuário. No geral, os resultados empíricos do estudo mostram que essa opção de redação não é suficientemente eficaz para impedir a gravação e, portanto, o possível vazamento de dados sensíveis.

Após o lançamento da pesquisa, alguns dos editores da lista declararam que não implementariam mais esses scripts.