Các nhà nghiên cứu đến từ trung tâm Nghiên cứu các chính sách về công nghệ thông tin (CITP) tại đại học Princeton đã phát hiện ra 400 trong số những trang web phổ biến nhất bao gồm cả Telegraph và BBC Good Food ẩn chứa những đoạn mã có thể theo dõi mọi thứ được nhập vào máy tính mà bạn không hề hay biết. Điều đáng lo ngại hơn là thông tin về những phím bạn gõ và dữ liệu nhạy cảm sẽ được gởi về một máy chủ phía thứ 3.
Mỗi khi lướt web thì các trang web thường sử dụng các dịch vụ tracker để theo dõi thói quen, thu thập dữ liệu người dùng để phục vụ cho mục đích quảng cáo. Tuy nhiên, vấn đề đang đi xa hơn khi hầu hết các trang web có lượng truy cập lớn trên thế giới đang ghi lại mọi thứ mà bạn gõ hay click, chẳng hạn như một đoạn từ khóa tìm kiếm hay một đoạn tin nhắn. Thậm chí khi bạn bắt đầu điền vào một biểu mẫu trên web với địa chỉ email, số điện thoại, thông tin cá nhân nhưng rồi quyết định không nhấn tiếp tục nữa, chỉ để đó thì các trang web cũng đã có được thông tin mà họ muốn.
Trang Motherboard cũng dẫn chứng rằng phát hiện của đại học Princeton tương tự với vụ Facebook theo dõi người dùng với những dòng cập nhật trạng thái bỏ dỡ, chưa được đăng lên cách đây 4 năm. Cụ thể là vào năm 2013, Facebook đã bị phát hiện ghi lại những gì đang được người dùng nhập nhưng sau đó xóa mà không đăng tải thành một post hoàn chỉnh ở chế độ công khai. Lúc đó người dùng rất hoang mang nhưng hiện tại điều đáng chú ý là tất cả những trang web phổ biến này đều vận hành một cơ chế tương tự mà bạn hoàn toàn không biết.
Công bằng mà nói thì những trang web được đại học Princeton phát hiện không chủ động sử dụng các dịch vụ keylog, họ không chủ ý thu thập thông tin nhập liệu từ người dùng mà thay vào đó là hậu quả của việc sử dụng một tính năng được gọi là Session Replay Script. Đây là những đoạn script được trang web sử dụng để theo dõi tính tương tác và hỗ trợ trong khâu thiết kế UX, thông báo cho người chủ trang web biết được thói quen của người xem từ đó cải tiến trải nghiệm truy cập trang web của mình. Thật không may là những đoạn script này có thể ghi lại hầu như mọi thứ và gởi dữ liệu đến máy chủ để phân tích.
Chuyện trở nên tồi tệ hơn khi các nhà nghiên cứu phát hiện ra rằng thông tin nhạy cảm này lại không được giữ kín. Một khi Sesson Replay Script ghi lại toàn bộ hoạt động của một người dùng trên trang web và cho phép chủ trang web truy xuất thông tin theo dõi thì họ sẽ có thể biết được thông tin cụ thể về một người dùng và xem lại những gì họ đã tương tác với trang web theo thời gian thực như click vào đâu, gõ cái gì. Dưới đây là video demo tính năng Session Replay Script của FullStory, rõ mồn một từng thao tác!
Mỗi khi lướt web thì các trang web thường sử dụng các dịch vụ tracker để theo dõi thói quen, thu thập dữ liệu người dùng để phục vụ cho mục đích quảng cáo. Tuy nhiên, vấn đề đang đi xa hơn khi hầu hết các trang web có lượng truy cập lớn trên thế giới đang ghi lại mọi thứ mà bạn gõ hay click, chẳng hạn như một đoạn từ khóa tìm kiếm hay một đoạn tin nhắn. Thậm chí khi bạn bắt đầu điền vào một biểu mẫu trên web với địa chỉ email, số điện thoại, thông tin cá nhân nhưng rồi quyết định không nhấn tiếp tục nữa, chỉ để đó thì các trang web cũng đã có được thông tin mà họ muốn.
Trang Motherboard cũng dẫn chứng rằng phát hiện của đại học Princeton tương tự với vụ Facebook theo dõi người dùng với những dòng cập nhật trạng thái bỏ dỡ, chưa được đăng lên cách đây 4 năm. Cụ thể là vào năm 2013, Facebook đã bị phát hiện ghi lại những gì đang được người dùng nhập nhưng sau đó xóa mà không đăng tải thành một post hoàn chỉnh ở chế độ công khai. Lúc đó người dùng rất hoang mang nhưng hiện tại điều đáng chú ý là tất cả những trang web phổ biến này đều vận hành một cơ chế tương tự mà bạn hoàn toàn không biết.
Chuyện trở nên tồi tệ hơn khi các nhà nghiên cứu phát hiện ra rằng thông tin nhạy cảm này lại không được giữ kín. Một khi Sesson Replay Script ghi lại toàn bộ hoạt động của một người dùng trên trang web và cho phép chủ trang web truy xuất thông tin theo dõi thì họ sẽ có thể biết được thông tin cụ thể về một người dùng và xem lại những gì họ đã tương tác với trang web theo thời gian thực như click vào đâu, gõ cái gì. Dưới đây là video demo tính năng Session Replay Script của FullStory, rõ mồn một từng thao tác!
Các nhà nghiên cứu tại Princeton đã chọn ra 7 công ty chuyên cung cấp dịch vụ Session Replay phổ biến trên thị trường và thử nghiệm các sản phẩm của họ trên một loạt các trang web. Họ phát hiện ra có ít nhất là một trong số các đoạn script đang được sử dụng bởi 482/50.000 trang có lượng truy cập lớn nhất trên thế giới theo xếp hạng Alexa. Danh sách các trang này bạn có thể xem tại đây, chúng được chia thành 2 trạng thái là "evidence of session recording" (có bằng chứng về việc ghi lại phiên duyệt web của người dùng) và "analytics script exists (có sự xuất hiện của các đoạn script dùng để phân tích).
Các nhà nghiên cứu cũng phát hiện ra rằng những dịch vụ Session Replay thực tế đang đứng trước nguy cơ tấn công cao. Không chỉ là mục tiêu có giá trị lớn, rất nhiều dịch vụ này cung cấp trang phân tích sử dụng giao thức HTTP không mã hóa thay vì HTTPS. "Hacker có thể thực hiện tấn công man-in-the-middle tiêm mã độc vào trang web và truy xuất toàn bộ dữ liệu được ghi lại," đại học Princeton cho biết.
Kể từ khi bản báo cáo của đại học Princeton được công bố thì nhiều trang web đang sử dụng các dịch vụ Session Replay Scripts và các nhà cung cấp đã lên tiếng phản hồi. Nhiều trang web cho rằng họ không nhận thức được cơ chế hoạt động và nguy cơ tiềm ẩn từ các dịch vụ này đồng thời nhấn mạnh đang tìm cách cải tiến để bảo vệ dữ liệu người dùng. SessionCam cũng đã đăng tải trên trang blog của mình rằng họ nhận thức rõ vấn đề và trấn an rằng công ty đang bảo vệ an toàn dữ liệu người dùng.
Về mặt giải pháp, đại học Princeton cho rằng người dùng nên cài đặt các phần mềm chặn quảng cáo như AdBlock Plus để chặn Session Replay Scripts. Ngoài ra chúng ta có thể dùng thêm các phần mềm chặn tracker như Ghostery để đảm bảo giữ kín thông tin cá nhân khi tương tác với mọi trang web.
Theo: Alphr
