Grazie a script specifici registrano ogni mossa dei visitatori, compreso l'inserimento di password e dati sensibili.
[ZEUS News - www.zeusnews.it - 25-11-2017]
Che i siti web raccolgano statistiche sul comportamento dei visitatori è cosa nota e, entro certi limiti, normale.
Una ricerca condotta presso l'Università di Princeton, però, per alcuni siti questa pratica sta raggiungendo livelli tali da minacciare seriamente la privacy e la sicurezza degli utenti, a causa dell'uso di script che consentono il cosiddetto session replay.
In buona sostanza, tali script consentono di seguire ogni movimento del visitatore all'interno del sito, non limitandosi a tenere traccia delle pagine visitate: seguono anche i movimenti del cursore del mouse e anche i caratteri digitati da tastiera nelle varie form.
Nominalmente, questo modo di procedere ha il solo scopo di conoscere meglio il modo in cui gli utenti interagiscono con il sito e individuare eventuali pagine che non funzionano o che sono poco chiare, ma è evidente che gli effetti collaterali sono da prendere sul serio.
La possibilità che vengano carpiti password, numeri di carta di credito, informazioni bancarie e altri dati sensibili è chiaramente molto alta, e non può non essere considerata un problema, anche perché l'uso degli script che permettono il session replay è abbastanza diffuso anche tra i siti più importanti.
I ricercatori di Princeton hanno individuato 482 siti, tra i 50.000 più popolari secondo la classifica di Alexa, che fanno uso di questa tecnica. Possono non sembrare molti, ma tra di essi ci sono siti che hanno milioni di visitatori.
L'elenco comprende infatti aziende come HP, Lenovo, Autodesk, Microsoft e Intel, ma anche Wordpress, Adobe e GoDaddy.
«Non abbiamo presentato questi esempi per puntare il dito contro certi siti. Invece, vogliamo mostrare che il processo di redazione può fallire anche se condotto da grandi nomi, che hanno incentivi legali molto forti nel proteggere i dati degli utenti» spiegano i ricercatori.
In effetti, gli script usati sono realizzati in maniera tale da tentare di escludere la registrazioni di dati come password, numeri di carta di credito e via dicendo. Ma l'implementazione è sovente imperfetta, e il risultato è che anche le informazioni personali vengono carpite.
In più, i ricercatori spiegano come i servizi di terze parti usati per il session replay spesso inviano i dati raccolti tramite connessioni non cifrate: in teoria, quindi, un malintenzionato potrebbe riuscire a sottrarli e usarli per i propri loschi fini, dal furto d'identità alla truffa.
Qui sotto, il video realizzato dai ricercatori per illustrare il funzionamento del session replay.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
