這些網站的使用紀錄由第三方分析服務提供,目的是為了讓網站營運商可以更完整的了解訪問者如何使用網站,並找出有問題的網頁。這些分析紀錄允許第三方網站和營運商重看任何一個人的瀏覽內容,所有的點擊、滾動和輸入都會被記錄並重複撥放。透過第三方分析紀錄的重播去收集網頁瀏覽者的使用習慣,可能會導致包含個人資料、信用卡和醫療資料等敏感的資訊外洩給第三方,造成盜用身分、網路詐騙和其他問題。
11 月 15 日公布的研究報告顯示,最多人瀏覽的 5 萬個網站中至少有 482 個有這種追蹤功能,其中包含軟體巨頭微軟(Microsoft)和 Adobe 的官網、電子大廠三星(Samsung)和華碩(Asus)的官網以及熱門遊戲英雄聯盟(League of Lengends)的官網,不過這些網站通常不會告知使用者這件事。要檢查出這種功能並不容易,因此實際具備分析紀錄的網站數量更高於這個數字。
FullStory 追蹤分析功能的使用影片。
報告研究者 Steven Englehardt 選擇了 6 種最普遍的第三方分析功能,發現多多少少都有資料外洩的問題。其中以 FullStory、Hotjar、Yandex 和 Smartlook 最侵犯隱私,所有輸入的敏感資訊都會被記錄下來。Smartlook 和 UserReplay 都會記錄密碼的字數,而 UserReplay 還會記錄信用卡後 4 碼。例如藥局 walgreens.com 和第三方分析服務 FullStory 合作,因此從 FullStory 端能夠看到用戶的名字和處方,得以輕鬆偷窺用戶的醫療狀況。
目前尚未確定哪些機制能夠完全阻擋這種追蹤紀錄,有些廣告攔截軟體可以過濾部分的追蹤但無法封鎖全部,瀏覽器提供的追蹤保護功能也不能阻擋全部的追蹤紀錄。這代表你在網路上的一舉一動和輸入的每個字都會被記錄,即使你沒送出或是根本就刪掉了也一樣。如果想要知道還有哪些網站會在你上網的時候偷窺你,這裡有完整的網站名單。
在有東西可以保護你之前,請牢牢記住這一點,你很可能在網路上裸奔。
延伸閱讀:《凡走過必留下痕跡 如何清除自己的網路「黑歷史」?》
《隱私權受損、假新聞當道 網路之父談現今網路隱憂》
《讓肯德基爺爺抱一個!肯德基推 「網路逃生艙」》
參考資料:
01 No, you’re not being paranoid. Sites really are watching your every move
02 No boundaries: Exfiltration of personal data by session-replay scripts