這些網站的使用紀錄由第三方分析服務提供,目的是為了讓網站營運商可以更完整的了解訪問者如何使用網站,並找出有問題的網頁。這些分析紀錄允許第三方網站和營運商重看任何一個人的瀏覽內容,所有的點擊、滾動和輸入都會被記錄並重複撥放。透過第三方分析紀錄的重播去收集網頁瀏覽者的使用習慣,可能會導致包含個人資料、信用卡和醫療資料等敏感的資訊外洩給第三方,造成盜用身分、網路詐騙和其他問題。
11 月 15 日公布的研究報告顯示,最多人瀏覽的 5 萬個網站中至少有 482 個有這種追蹤功能,其中包含軟體巨頭微軟(Microsoft)和 Adobe 的官網、電子大廠三星(Samsung)和華碩(Asus)的官網以及熱門遊戲英雄聯盟(League of Lengends)的官網,不過這些網站通常不會告知使用者這件事。要檢查出這種功能並不容易,因此實際具備分析紀錄的網站數量更高於這個數字。
FullStory 追蹤分析功能的使用影片。
報告研究者 Steven Englehardt 選擇了 6 種最普遍的第三方分析功能,發現多多少少都有資料外洩的問題。其中以 FullStory、Hotjar、Yandex 和 Smartlook 最侵犯隱私,所有輸入的敏感資訊都會被記錄下來。Smartlook 和 UserReplay 都會記錄密碼的字數,而 UserReplay 還會記錄信用卡後 4 碼。例如藥局 walgreens.com 和第三方分析服務 FullStory 合作,因此從 FullStory 端能夠看到用戶的名字和處方,得以輕鬆偷窺用戶的醫療狀況。
張貼留言