image

Honderden populaire websites sturen toetsaanslagen door

maandag 20 november 2017, 16:56 door Redactie, 19 reacties

Honderden populaire websites sturen toetsaanslagen, muisbewegingen, scrollgedrag en de inhoud van bezochte pagina's naar derde partijen door, zonder dat gebruikers dit weten, zo hebben onderzoekers van Princeton University ontdekt. De websites maken gebruik van zogeheten "session replay" scripts.

Deze scripts slaan het gedrag van de gebruiker op, zodat dit later kan worden bekeken. "Alsof iemand over je schouder meekijkt", aldus de onderzoekers. Het beoogde doel van dergelijke scripts is om inzicht te krijgen in hoe gebruikers de website gebruiken en verwarrende of niet meer bestaande pagina's te ontdekken. De hoeveelheid data die deze diensten verzamelen gaat volgens de onderzoekers veel verder dan gebruikers verwachten.

Het gaat dan bijvoorbeeld om de tekst in een formulier voordat die wordt verstuurd, alsmede precieze muisbewegingen. De onderzoekers merken op dat deze gegevens niet anoniem blijven. Sommige bedrijven laten uitgevers deze opnamen aan de echte identiteit van de gebruiker koppelen. Voor hun onderzoek keken de onderzoekers naar de zeven meest gebruikte replay-scripts, namelijk Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam. De scripts werden op 482 van de Alexa top 50.000 websites aangetroffen.

Datalek

De onderzoekers waarschuwen dat het verzamelen van gebruikersdata door replay-scripts ervoor kan zorgen dat gevoelige informatie lekt, zoals medische klachten, creditcardgegevens en andere persoonlijke informatie. De aanbieders van replay-scripts bieden wel tools om gevoelige informatie te filteren en verwijderen, maar de uitgever van de website moet hiervoor elke pagina doorlopen en controleren. Iets wat niet altijd wordt gedaan. Zo bleek tenminste één van de websites het wachtwoord in een registratieformulier naar een derde partij door te sturen, ook al werd het registratieformulier zelf nooit verstuurd.

Blokkeren

Ook gebruikers van adblockers lopen risico dat hun data wordt doorgestuurd. De twee populairste adblockerfilters, EasyList en EasyPrivacy, blijken de replay-scripts van FullStory, Smartlook en UserReplay niet te blokkeren. EasyPrivacy heeft wel filterregels die Yandex, Hotjar, ClickTale en SessionCam blokkeren. UserReplay biedt uitgevers de mogelijkheid om geen data te verzamelen van gebruikers die Do Not Track in hun browser hebben ingesteld. Geen van de Alexa top 1 miljoen uitgevers blijkt Do Not Track te respecteren. "Het verbeteren van de gebruikerservaring is een belangrijke taak van uitgevers. Het zou echter niet ten koste van de privacy mogen gaan", aldus de onderzoekers.

Image

Reacties (19)
20-11-2017, 17:17 door Anoniem
KeyScrambler (Free) installeren.
20-11-2017, 17:53 door Anoniem
- Google Chrome als browser in het voorbeeld : misschien ligt het net ff wat meer aan deze browser

- Firefox browser dan? : Nee die garandeert ook niets standaard en je zal er voor onder de motorkap moeten : studie maken van een zeer uitgebreide lijst van DOM settings.

Bekenste usual suspects die me bijstaan, clipboardevents, idle time/observers, dom workers in het algemeen, accu en vibrating functies, keyboardevents?
Je kan het beter zelf opzoeken op een site die zich er al jaren in specialiseert.
https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/
Als je klaar bent na een uur of twee, geef je natuurlijk je browser netjes een andere naam : FireFixed

Leuke he dat mzzzl::lblahwahwah ?
Niet echt, dat heeft niets meer te maken met van alles en nog wat.
Op vele vlakken lapt het elke marktwet aan haar laars; luisteren naar de klant, niet misleiden, klantvriendelijk zijn, klanten niet met onnodig werk opschepen, ..

Tekst typen in een plaintxt editor kan natuurlijk ook, daarna pasten en vergeet met wachtwoorden dan niet even iets nieuws te kopieren, een spatie of zo opdat je wachtwoord niet meer in het geheugen geparkeerd blijft staan.
20-11-2017, 18:42 door Anoniem
Wat doet security.nl?
20-11-2017, 19:06 door Ron625
NoScript kan ook wonderen doen.
20-11-2017, 19:41 door Anoniem
Dit is de lijst: https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html
20-11-2017, 20:13 door Anoniem
Zijn die scripts platform onafhankelijk?
20-11-2017, 21:39 door Anoniem
Ik heb al eerder gezegd... we moeten af van allerlei onzin die aan de client zijde gedraaid kan worden. Als jullie code willen uitvoeren doe je dat maar aan de server zijde! De client hoort geen code uit te voeren en geen informatie vrij te geven zonder toestemming van de gebruiker. Het wordt met de dag gekker.
20-11-2017, 22:45 door karma4
Door Anoniem: Ik heb al eerder gezegd... we moeten af van allerlei onzin die aan de client zijde gedraaid kan worden. Als jullie code willen uitvoeren doe je dat maar aan de server zijde! De client hoort geen code uit te voeren en geen informatie vrij te geven zonder toestemming van de gebruiker. Het wordt met de dag gekker.
Terug naar de domme terminal, maar die was zo dom nog niet.
Zoals het nu gaat met alle Apps wordt het alleen maar steeds meer naar de client gebracht.
20-11-2017, 23:10 door Anoniem
Door Anoniem: Ik heb al eerder gezegd... we moeten af van allerlei onzin die aan de client zijde gedraaid kan worden. Als jullie code willen uitvoeren doe je dat maar aan de server zijde! De client hoort geen code uit te voeren en geen informatie vrij te geven zonder toestemming van de gebruiker. Het wordt met de dag gekker.

Dat komt omdat de uitvinder van dat alles zich flink voor het karretje laat spannen van allerhande lobbygroepen die iets willen met 'zijn' protocol. (Zoals DRM in HTML5 bijvoorbeeld).
21-11-2017, 08:31 door [Account Verwijderd]
[Verwijderd]
21-11-2017, 08:43 door [Account Verwijderd]
[Verwijderd]
21-11-2017, 08:58 door Anoniem
Door Neb Poorten: microsoft.com en wordpress.com #nocomment

2414 redhat.com clicktale.net evidence of session recording #nocomment

Ik ben ook een Linux aanhanger Neb en heb de pest aan Microsoft om vele redenen maar RedHat doet er ook vrolijk aan mee. Toch andere belangen blijkbaar dan de mensen die Linux echt een warm hart toedragen.
21-11-2017, 09:01 door Anoniem
Door karma4:
Door Anoniem: Ik heb al eerder gezegd... we moeten af van allerlei onzin die aan de client zijde gedraaid kan worden. Als jullie code willen uitvoeren doe je dat maar aan de server zijde! De client hoort geen code uit te voeren en geen informatie vrij te geven zonder toestemming van de gebruiker. Het wordt met de dag gekker.
Terug naar de domme terminal, maar die was zo dom nog niet.
Zoals het nu gaat met alle Apps wordt het alleen maar steeds meer naar de client gebracht.

Was inderdaad zo gek nog niet behalve dat de servers regelmatig zwaar overbelast waren. Het idee is dat iedere client een beetje meehelpt. Alleen is het te ver doorgeschoten met te weinig beveiliging.
21-11-2017, 09:57 door Anoniem
TIP:

Er zijn bergen geheime functies die aan geen enkele programmeur in welke taal dan ook beschikbaar zijn gesteld. En computers maken deel uit van iets veel groters.
21-11-2017, 10:36 door [Account Verwijderd]
[Verwijderd]
21-11-2017, 11:12 door Anoniem
Door Anoniem: TIP:

Er zijn bergen geheime functies die aan geen enkele programmeur in welke taal dan ook beschikbaar zijn gesteld. En computers maken deel uit van iets veel groters.

Hou aub op met dit soort onzin te verspreiden. Niemand zit te wachten op onzin-conspiracy crap.
21-11-2017, 12:00 door Anoniem
@Neb Poorten & karma4

Eigenlijk maakt het dus hier niet zo veel uit of we nu door de hond (Yandex (FSB)) of de kat ( clicktale dot net (NSA) worden gebeten. Iedereen zich wel eens afgevraagd waarom mensen op bepaalde zoekacties, bijvoorbeeld Raptor BGP, tor, tails, ?
linux, Immunant Selfrando extra onder de loep worden genomen? Potentiële extremisten, meneertje en die motten in beeld worden gebracht.

We zitten dus gevangen tussen de rots van de totale surveillance van grote mogendheden en de harde steen van de product profilering van de grote multinationale bedrijven en die techniek blijkt ook hier weer volledig ten dienste van deze steeds dystopischer wereld te worden gebruikt.

Wanneer is het eens een keer genoeg? Wanneer gaan we de boel weer echt veilig maken? Wanneer worden technisch weerbare mensen niet langer als "extremisten" beschouwd? Genoeg filosofische referentie, want dat helpt toch geen ene mallemoer. We zullen het echt zelf moeten doen.

Hier zie ik alleen maar waarschuwingen voorbij komen: https://privacyscore.org/site/17412/
en https://urlscan.io/result/106e10b5-1645-4fad-8e26-3d7c6bf5c073#summary

Bij zoeken op de laatste pagina urlscan/io krijg ik van Bitdefender TrafficLight nog een phishing alert toe ook.

Is zoveel mensen op de hoogte stellen van de ware aard van de infrastructuur een optie? Zou het wat uitmaken?
Hoeveel % van de ingeslapen massa, op de semi-automatische of volautomatische piloot opererend, zal het ene deuk uitmaken? En de heersers op Interwebs lachen zich de b*llen uit de broek.

Princeton maakt bekend, Princeton gaat verder met BGP injectie onderzoek om tor en tails verder te de-anonimiseren.
Princeton is horig aan de "forces that be". Net zo goed als Yandex.ru trouwens.

Trouwens die horigen zijn we allemaal geworden in zekere zin.

luntrus
21-11-2017, 12:06 door PietdeVries - Bijgewerkt: 21-11-2017, 12:07
Door Neb Poorten:
Door Anoniem: TIP:

Er zijn bergen geheime functies die aan geen enkele programmeur in welke taal dan ook beschikbaar zijn gesteld. En computers maken deel uit van iets veel groters.

Vertel...

Ooohhh Jaaa!! Om Bert Visscher maar eens te quoten: "Vertel vertel! Niet te snel, we schrijven mee! Desnoods leggen we geld toe!"

Of linkt je achtergrond verhaal over de bergen geheime functies toevallig naar Niburu - tussen het verhaal over de holle aarde en dat de maan van ijzer is?
21-11-2017, 14:18 door Anoniem
Beste redactie en ook Anoniem 17.53, bedankt voor de waarschuwing en de link van ghacks!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.