你也在網路上裸奔嗎?第三方分析紀錄讓你一舉一動全都露

本文經授權轉載自友站科技新報文/ 黃彥鈞 

如果你在上網的時候有種被盯著看的錯覺,那很可能其實不是錯覺。一項新的研究顯示,有數百個熱門網站會追蹤使用者的點擊、滑鼠移動、滾輪和輸入的內容,甚至包括輸入後刪掉或未送出的文字。

文章插圖

這些網站的使用紀錄由第三方分析服務提供,目的是為了讓網站營運商可以更完整的了解訪問者如何使用網站,並找出有問題的網頁。這些分析紀錄允許第三方網站和營運商重看任何一個人的瀏覽內容,所有的點擊、滾動和輸入都會被記錄並重複撥放。透過第三方分析紀錄的重播去收集網頁瀏覽者的使用習慣,可能會導致包含個人資料、信用卡和醫療資料等敏感的資訊外洩給第三方,造成盜用身分、網路詐騙和其他問題。

11 月 15 日公布的研究報告顯示,最多人瀏覽的 5 萬個網站中至少有 482 個有這種追蹤功能,其中包含軟體巨頭微軟(Microsoft)和 Adobe 的官網、電子大廠三星(Samsung)和華碩(Asus)的官網以及熱門遊戲英雄聯盟(League of Lengends)的官網,不過這些網站通常不會告知使用者這件事。要檢查出這種功能並不容易,因此實際具備分析紀錄的網站數量更高於這個數字。

FullStory 追蹤分析功能的使用影片。

報告研究者 Steven Englehardt 選擇了 6 種最普遍的第三方分析功能,發現多多少少都有資料外洩的問題。其中以 FullStory、Hotjar、Yandex 和 Smartlook 最侵犯隱私,所有輸入的敏感資訊都會被記錄下來。Smartlook 和 UserReplay 都會記錄密碼的字數,而 UserReplay 還會記錄信用卡後 4 碼。例如藥局 walgreens.com 和第三方分析服務 FullStory 合作,因此從 FullStory 端能夠看到用戶的名字和處方,得以輕鬆偷窺用戶的醫療狀況。

文章插圖

目前尚未確定哪些機制能夠完全阻擋這種追蹤紀錄,有些廣告攔截軟體可以過濾部分的追蹤但無法封鎖全部,瀏覽器提供的追蹤保護功能也不能阻擋全部的追蹤紀錄。這代表你在網路上的一舉一動和輸入的每個字都會被記錄,即使你沒送出或是根本就刪掉了也一樣。如果想要知道還有哪些網站會在你上網的時候偷窺你,這裡有完整的網站名單

在有東西可以保護你之前,請牢牢記住這一點,你很可能在網路上裸奔。


延伸閱讀:《凡走過必留下痕跡 如何清除自己的網路「黑歷史」?
隱私權受損、假新聞當道 網路之父談現今網路隱憂
讓肯德基爺爺抱一個!肯德基推 「網路逃生艙」

參考資料:
01 No, you’re not being paranoid. Sites really are watching your every move
02 No boundaries: Exfiltration of personal data by session-replay scripts

科技新報 logo

科技新報

科技新報是一群對資訊科技、能源、半導體、行動運算、網際網路、醫療、生物科技有高度熱忱與興趣的產業與新媒體人士,共同組成的時代新媒體,以產出有觀點與特色的原創文章為主要任務。