بر اساس یافتههای جدید پژوهشگران دانشگاه پرینستون، وقتی کاربران اینترنت از سایتهایی مانند Walgreens.com بازدید میکنند، ممکن است تمامی کنشهای آنها در صفحات وب مانند فشردن کلیدهای کیبورد، حرکات نشانگر موس و حتی اسکرول کردن آنها ثبت و ضبط شود. این سایتها با تحلیل دادههای گردآوری شده از این روش بهطور بالقوه قادرند وضعیت سلامتی کاربران از جمله وابستگی به الکل یا حتی نام داروهای مورد استفاده آنها را در معرض خطر افشا قرار دهند.
شرکتهایی نظیر والگرینز (Walgreens) با به کار گرفتن نرمافزارهای تحلیلی به دنبال این هستند که به نحوه استفاده کاربران از وبسایت خود پی ببرند یا که صفحات وب آسیب دیده یا گنگ را شناسایی کنند. برای این کار، شرکتهای ارایه دهنده این نرمافزارها اسکریپتهایی روی وبسایتهای مشتریان خود قرار میدهند که قادر است سشنهای وبگردی فردی کاربران را برای مشاهده در آینده ثبت و ضبط کند. از این سشنها با عنوان سشنهای پاسخ یا replay sessions یاد میشود.
پژوهشگران پرینستون میگویند که شرکتهای نرمافزاری سایه به سایه ردپای کاربران را در صفحات وب دنبال میکنند. طبق مطالعات آنها، میزان دادههای جمعآوری شده از این طریق به مراتب از آنچه انتظار میرفت، بیشتر است. شاید کمی عجیب به نظر بیاید، اما این نرمافزارها قادرند چیزهایی را که کاربران در تکست باکسها یا جعبههای متنی تایپ میکنند، حتی پیش از ارسال، ثبت کنند، بدون اینکه کوچکترین نشانهای را در معرض دید کاربر قرار دهند.
چهارشنبه گذشته، والگرینز در پاسخ به سوالات یکی از وبسایتهای خبری گفته است که به همکاری با شرکت نرمافزاری فولاستوری (FullStory) خاتمه میدهد. فولاستوری از جمله شرکتهایی است که نرمافزارهای تحلیلی را برای پایش کنشهای کاربران در اختیار صاحبان وبسایتها قرار میدهد. والگرینز به فاصله کمی پس از انتشار مقاله پژوهشگران پرینستون، طی بیانیهای اعلام کرد:
ما بهشدت از دادههای کاربران خود محافظت میکنیم و ادعاهای محققان پرینستون را مورد بررسی قرار خواهیم داد. با توجه به بروز نگرانیهایی در این رابطه میان کاربران، به همکاری خود با فولاستوری و به اشتراکگذاری دادههای مشتریانمان با این شرکت خاتمه میدهیم.
همچنین سخنگوی والگرینز گفته است که نرمافزار فولاستوری درست مانند یک کلید روشن/خاموش است و ما اکنون این کلید را خاموش کردهایم.
روز پنجشنبه هم یک خردهفروشی دیگر در پی انتشار مقاله یاد شده، همکاری با فولاستوری را متوقف کرد. Bonobos که یک خردهفروشی آنلاین متعلق به والمارت است، طی بیانیهای اعلام کرد:
ما اشتراکگذاری دادههای کاربران خود را با فولاستوری متوقف کردهایم تا پروتکلها و فرآیندهای کاری مرتبط با خدمات این شرکت را مورد ارزیابی مجدد قرار دهیم. ما خود را حافظ و امانتدار دادههای مشتریانمان میدانیم و به کیفیتسنجی و تقویت سیستمها و رویههای کاری خود با قدرت ادامه خواهیم داد.
محققان پرینستون در مطالعات خود دریافتهاند که شرکت فولاستوری برخی از اطلاعات حیاتی کاربران سایت Bonobos از جمله جزئیات کارت اعتباری آنها شامل نام و شمارهحساب دارنده کارت، شماره کارت، تاریخ انقضا و کد امنیتی را ثبت کرده است.
فولاستوری یکی از هفت شرکت فعال در زمینه session replay است که محققان پرینستون به بررسی آنها پرداختهاند. استیون انگلهارت، یکی از این محققان میگوید که آن دسته از نرمافزارهای تحلیلی که قادرند حرکات نشانگر موس یا فشردن کلیدهای کیبورد را اندازهگیری کنند، پیش از این هم وجود داشته و سالها مشغول فعالیت بودهاند. این فناوری معمولا برای ردیابی کنشهای گروهی کاربران مورد استفاده قرار میگرفت؛ برای مثال این نرمافزارها میتوانستند تعیین کنند که کدام بخش از یک صفحه وب بازدیدکنندگان بیشتری را به خود جذب میکند. اما طبق یافتههای این محققان، فولاستوری و دیگر شرکتهای فعال در این حوزه، کنشهای کاربران را به صورت فردی و مستقل و حتی گاهی اوقات با اسم مورد پایش قرار میدهند.
از دیگر مشتریانی که از خدمات فولاستوری استفاده کردهاند میتوان به زاکداک (Zocdoc)، شاپیفای (Shopify)، کریربیلدر (CareerBuilder)، سیتگیک (SeatGeek)، ویکس (Wix)، دیجیتال اوشن (Digital Ocean)، دونورچوز (DonorsChoose.org) و چندین وبسایت دیگر نام برد. دیجیتال اوشن پس از انتشار مقاله پژوهشگران پرینستون، طی توییتی اعلام کرد که دسترسی فولاستوری به فرمهای کاربران را قطع میکند و هر نوع داده قابل دسترس برای فولاستوری را به حالت ناشناس در میآورد. البته فولاستوری به درخواست سایتهای خبری برای اظهارنظر در این رابطه پاسخی نداده است.
شرکتهای فعال در زمینه session replay معمولا ابزارهایی را در اختیار مشتریان خود قرار میدهند که بتوانند به کمک آنها اطلاعات حساس کاربران خود را به صورت دستی یا خودکار حذف کنند؛ اما محققان دریافتهاند که این فرآیند در اغلب موارد به صورت نارسا و غیرشفاف انجام میشود. یافتههای این محققان نشان میدهد که والگرینز برای حذف اطلاعات حیاتی کاربران خود بهطور گستردهای از روش دستی استفاده کرده، اما کماکان مانع دسترسی فولاستوری به اطلاعات شخصی کاربران نشده است.
استیون انگلهارت میگوید که برای جمعآوری دادهها همراه با محققان همکارش، در والگرینز و چندین سایت دیگر اقدام به ایجاد حساب کاربری کردند. آنها سپس در والگرینز، اطلاعات مربوط به داروها و وضعیت سلامتی خود را وارد و بعد از آن شروع به ثبت ترافیک سایت کردند. آنها در ادامه ترافیک سایت را تجزیه و تحلیل کردند تا ببینند که آیا اطلاعات وارد شده آنها در سشن ثبت ظاهر میشود یا خیر.
این محققان سپس ۵۰ هزار وبسایت پربازدید جهان را بر اساس ردهبندی الکسا مورد بررسی قرار دادند. آنها متوجه شدند که از این تعداد، ۴۸۲ سایت، اطلاعات فردی کاربران خود را با شرکتهای هفتگانه session replay به اشتراک میگذارند. انگلهارت میگوید که درصد وبسایتهایی که اطلاعات کاربران خود را به شرکتهای نرمافزاری نشت میدهند، احتمالا بسیار بالاتر از این ارقام است؛ چرا که این شرکتهای نرمافزاری برای یک وبسایت خاص، تنها نمونه محدودی از بازدیدها را ردیابی میکنند.
اشکان سلطانی، محقق امور امنیتی و مهندس ارشد سابق کمیسیون تجارت فدرال آمریکا (FTC) میگوید که هرچند نرمافزارهای کیلاگر پیش از این نیز وجود داشتهاند، اما آنچه در یافتههای پژوهشی محققان پرینستون افشا شده را باید در زمره مخربترین اعمال برای تصرف اطلاعات کاربران قلمداد کرد. وی در ادامه گفته است:
ثبت [متنهای تایپ شده] در هر فرمی به مثابه دسترسی به جزئیترین اطلاعات ممکن است؛ چیزی که پیش از این هرگز با آن مواجه نشده بودم.
سلطانی با ابراز شگفتی از این اتفاق افزوده است:
من فکر میکنم بیشتر کاربران، نمیدانند که موقع کار با یک وبسایت، اطلاعاتشان ممکن است با ۴۰ تا ۱۰۰ شرکت شخص ثالث به اشتراک گذاشته میشود. این شرکتها معمولا بازدید یک کاربر از وبسایت یا سایر کنشهای عادی او را ثبت میکنند، اما شرکتهایی از قبیل فولاستوری نه تنها صفحات بازدید شده توسط کاربر بلکه محتوایی را که او در قسمتهای مختلف وارد میکند، نیز ثبت میکنند.
یکی از شرکتهای نرمافزاری که در یافتههای محققان پرینستون مورد شناسایی قرار گرفته یاندکس (Yandex)، بزرگترین موتور جستوجوی روسیه است. انگلهارت گفته که هنوز نمیدانیم که آیا رهگیری اعمال کاربران توسط یاندکس به عنوان بخشی از یک پروژه تحت حمایت دولت انجام میشود یا خیر. اما آنچه فعلا میدانیم این است که یاندکس بیشتر روی وبسایتهای روسی تمرکز دارد.
انگلهارت به عنوان کلام آخر گفته که او و همکارانش در آینده، یافتههای تحقیقاتی بیشتری را در مورد شیوههای گردآوری دادههای کاربران توسط شرکتهای نرمافزاری منتشر خواهند کرد.
منبع : زومیت