یکشنبه, ۵ آذر ۹۶ ساعت ۱۷:۰۰

نیمه تاریک سشن‌های پاسخ؛ ثبت جزئی‌ترین کنش‌های کاربران در صفحات وب

به‌تازگی مقاله‌ای منتشر شده که در آن از نقش شرکت‌های نرم‌افزاری برای ثبت جزئی‌ترین کنش‌های کاربران در سایت‌های مختلف پرده برداشته است.

نیمه تاریک سشن‌های پاسخ؛ ثبت جزئی‌ترین کنش‌های کاربران در صفحات وب

بر اساس یافته‌های جدید پژوهشگران دانشگاه پرینستون، وقتی کاربران اینترنت از سایت‌هایی مانند Walgreens.com بازدید می‌کنند، ممکن است تمامی کنش‌های آن‌ها در صفحات وب مانند فشردن کلیدهای کیبورد، حرکات نشانگر موس و حتی اسکرول کردن آن‌ها ثبت و ضبط شود. این سایت‌ها با تحلیل داده‌های گردآوری شده از این روش به‌طور بالقوه قادرند وضعیت سلامتی کاربران از جمله وابستگی به الکل یا حتی نام داروهای مورد استفاده آن‌ها را در معرض خطر افشا قرار دهند.

شرکت‌هایی نظیر وال‌گرینز (Walgreens) با به کار گرفتن نرم‌افزارهای تحلیلی به دنبال این هستند که به نحوه استفاده کاربران از وب‌سایت خود پی ببرند یا که صفحات وب آسیب دیده یا گنگ را شناسایی کنند. برای این کار، شرکت‌های ارایه دهنده این نرم‌افزارها اسکریپت‌هایی روی وب‌سایت‌های مشتریان خود قرار می‌دهند که قادر است سشن‌های وب‌گردی فردی کاربران را برای مشاهده در آینده ثبت و ضبط کند. از این سشن‌ها با عنوان سشن‌های پاسخ یا replay sessions یاد می‌شود.

سشن (session) ساختاری از داده است که وب اپلیکیشن از آن برای نگهداری موقتی اطلاعات از جمله خصوصیات یک کاربر استفاده می‌کند.

پژوهشگران پرینستون می‌گویند که شرکت‌های نرم‌افزاری سایه به سایه ردپای کاربران را در صفحات وب دنبال می‌کنند. طبق مطالعات آن‌ها، میزان داده‌های جمع‌آوری شده از این طریق به مراتب از آنچه انتظار می‌رفت، بیشتر است. شاید کمی عجیب به نظر بیاید، اما این نرم‌افزارها قادرند چیزهایی را که کاربران در تکست باکس‌ها یا جعبه‌های متنی تایپ می‌کنند، حتی پیش از ارسال، ثبت کنند، بدون اینکه کوچک‌ترین نشانه‌ای را در معرض دید کاربر قرار دهند.

چهارشنبه گذشته، والگرینز در پاسخ به سوالات یکی از وب‌سایت‌های خبری گفته است که به همکاری با شرکت نرم‌افزاری فول‌استوری (FullStory) خاتمه می‌دهد. فول‌استوری از جمله شرکت‌هایی است که نرم‌افزارهای تحلیلی را برای پایش کنش‌های کاربران در اختیار صاحبان وب‌سایت‌ها قرار می‌دهد. والگرینز به فاصله کمی پس از انتشار مقاله پژوهشگران پرینستون، طی بیانیه‌ای اعلام کرد:

ما به‌شدت از داده‌های کاربران خود محافظت می‌کنیم و ادعاهای محققان پرینستون را مورد بررسی قرار خواهیم داد. با توجه به بروز نگرانی‌هایی در این رابطه میان کاربران، به همکاری خود با فول‌استوری و به اشتراک‌گذاری داده‌های مشتریانمان با این شرکت خاتمه می‌دهیم.

همچنین سخنگوی والگرینز گفته است که نرم‌افزار فول‌استوری درست مانند یک کلید روشن/خاموش است و ما اکنون این کلید را خاموش کرده‌ایم.

روز پنجشنبه هم یک خرده‌فروشی دیگر در پی انتشار مقاله یاد شده، همکاری با فول‌استوری را متوقف کرد. Bonobos که یک خرده‌فروشی آنلاین متعلق به وال‌مارت است، طی بیانیه‌ای اعلام کرد:

ما اشتراک‌گذاری داده‌های کاربران خود را با فول‌استوری متوقف کرده‌ایم تا پروتکل‌ها و فرآیندهای کاری مرتبط با خدمات این شرکت را مورد ارزیابی مجدد قرار دهیم. ما خود را حافظ و امانت‌دار داده‌های مشتریانمان می‌دانیم و به کیفیت‌سنجی و تقویت سیستم‌ها و رویه‌های کاری خود با قدرت ادامه خواهیم داد.

محققان پرینستون در مطالعات خود دریافته‌اند که شرکت فول‌استوری برخی از اطلاعات حیاتی کاربران سایت  Bonobos از جمله جزئیات کارت اعتباری آن‌ها شامل نام و شماره‌حساب دارنده کارت، شماره کارت، تاریخ انقضا و کد امنیتی را ثبت کرده است.

فول‌استوری یکی از هفت شرکت فعال در زمینه session replay است که محققان پرینستون به بررسی آن‌ها پرداخته‌اند. استیون انگلهارت، یکی از این محققان می‌گوید که آن دسته از نرم‌افزارهای تحلیلی که قادرند حرکات نشانگر موس یا فشردن کلیدهای کیبورد را اندازه‌گیری کنند، پیش از این هم وجود داشته و سال‌ها مشغول فعالیت بوده‌اند. این فناوری معمولا برای ردیابی کنش‌های گروهی کاربران مورد استفاده قرار می‌گرفت؛ برای مثال این نرم‌افزارها می‌توانستند تعیین کنند که کدام بخش از یک صفحه وب بازدیدکنندگان بیشتری را به خود جذب می‌کند. اما طبق یافته‌های این محققان، فول‌استوری و دیگر شرکت‌های فعال در این حوزه، کنش‌های کاربران را به صورت فردی و مستقل و حتی گاهی اوقات با اسم مورد پایش قرار می‌دهند.

از دیگر مشتریانی که از خدمات فول‌استوری استفاده کرده‌اند می‌توان به زاک‌داک (Zocdoc)، شاپیفای (Shopify)، کریربیلدر (CareerBuilder)، سیت‌گیک (SeatGeek)، ویکس (Wix)، دیجیتال اوشن (Digital Ocean)، دونورچوز (DonorsChoose.org) و چندین وب‌سایت دیگر نام برد. دیجیتال اوشن پس از انتشار مقاله پژوهشگران پرینستون، طی توییتی اعلام کرد که دسترسی فول‌استوری به فرم‌های کاربران را قطع می‌کند و هر نوع داده قابل دسترس برای فول‌استوری را به حالت ناشناس در می‌آورد. البته فول‌استوری به درخواست سایت‌های خبری برای اظهارنظر در این رابطه پاسخی نداده است.

شرکت‌های فعال در زمینه session replay معمولا ابزارهایی را در اختیار مشتریان خود قرار می‌دهند که بتوانند به کمک آن‌ها اطلاعات حساس کاربران خود را به صورت دستی یا خودکار حذف کنند؛ اما محققان دریافته‌اند که این فرآیند در اغلب موارد به صورت نارسا و غیرشفاف انجام می‌شود. یافته‌های این محققان نشان می‌دهد که والگرینز برای حذف اطلاعات حیاتی کاربران خود به‌طور گسترده‌ای از روش دستی استفاده کرده، اما کماکان مانع دسترسی فول‌استوری به اطلاعات شخصی کاربران نشده است.

استیون انگلهارت می‌گوید که برای جمع‌آوری داده‌ها همراه با محققان همکارش، در والگرینز و چندین سایت دیگر اقدام به ایجاد حساب کاربری کردند. آن‌ها سپس در والگرینز، اطلاعات مربوط به داروها و وضعیت سلامتی خود را وارد و بعد از آن شروع به ثبت ترافیک سایت کردند. آن‌ها در ادامه ترافیک سایت را تجزیه و تحلیل کردند تا ببینند که آیا اطلاعات وارد شده آن‌ها در سشن ثبت ظاهر می‌شود یا خیر.

این محققان سپس ۵۰ هزار وب‌سایت پربازدید جهان را بر اساس رده‌بندی الکسا مورد بررسی قرار دادند. آن‌ها متوجه شدند که از این تعداد، ۴۸۲ سایت، اطلاعات فردی کاربران خود را با شرکت‌های هفتگانه session replay به اشتراک می‌گذارند. انگلهارت می‌گوید که درصد وب‌سایت‌هایی که اطلاعات کاربران خود را به شرکت‌های نرم‌افزاری نشت می‌دهند، احتمالا بسیار بالاتر از این ارقام است؛ چرا که این شرکت‌های نرم‌افزاری برای یک وب‌سایت خاص، تنها نمونه محدودی از بازدیدها را ردیابی می‌کنند.

اشکان سلطانی، محقق امور امنیتی و مهندس ارشد سابق کمیسیون تجارت فدرال آمریکا (FTC) می‌گوید که هرچند نرم‌افزارهای کی‌لاگر پیش از این نیز وجود داشته‌اند، اما آنچه در یافته‌های پژوهشی محققان پرینستون افشا شده را باید در زمره مخرب‌ترین اعمال برای تصرف اطلاعات کاربران قلمداد کرد. وی در ادامه گفته است:

ثبت [متن‌های تایپ شده] در هر فرمی به مثابه دسترسی به جزئی‌ترین اطلاعات ممکن است؛ چیزی که پیش از این هرگز با آن مواجه نشده بودم.

سلطانی با ابراز شگفتی از این اتفاق افزوده است:

من فکر می‌کنم بیشتر کاربران، نمی‌دانند که موقع کار با یک وب‌سایت، اطلاعاتشان ممکن است با ۴۰ تا ۱۰۰ شرکت شخص ثالث به اشتراک گذاشته می‌شود. این شرکت‌ها معمولا بازدید یک کاربر از وب‌سایت یا سایر کنش‌های عادی او را ثبت می‌کنند، اما شرکت‌هایی از قبیل فول‌استوری نه تنها صفحات بازدید شده توسط کاربر بلکه محتوایی را که او در قسمت‌های مختلف وارد می‌کند، نیز ثبت می‌کنند.

یکی از شرکت‌های نرم‌افزاری که در یافته‌های محققان پرینستون مورد شناسایی قرار گرفته یاندکس (Yandex)، بزرگ‌ترین موتور جست‌وجوی روسیه است. انگلهارت گفته که هنوز نمی‌دانیم که آیا رهگیری اعمال کاربران توسط یاندکس به عنوان بخشی از یک پروژه تحت حمایت دولت انجام می‌شود یا خیر. اما آنچه فعلا می‌دانیم این است که یاندکس بیشتر روی وب‌سایت‌های روسی تمرکز دارد.

انگلهارت به عنوان کلام آخر گفته که او و همکارانش در آینده، یافته‌های تحقیقاتی بیشتری را در مورد شیوه‌های گردآوری داده‌های کاربران توسط شرکت‌های نرم‌افزاری منتشر خواهند کرد.

با دوستان خود به اشتراک بگذارید

کلید واژه‌ها : Security - منبع: zoomit