使用 FullStory、Hotjar、Yandex 和 Smartlook 第三方分析可能會曝光您的顧客資料

如果你在上網的時候有種被盯著看的錯覺,那很可能其實不是錯覺。一項新的研究顯示,有數百個熱門網站會追蹤使用者的點擊、滑鼠移動、滾輪和輸入的內容,甚至包括輸入後刪掉或未送出的文字。

這些網站的使用紀錄由第三方分析服務提供,目的是為了讓網站營運商可以更完整的了解訪問者如何使用網站,並找出有問題的網頁。這些分析紀錄允許第三方網站和營運商重看任何一個個人的瀏覽內容,所有的點擊、滾動和輸入都會被記錄並重複撥放。透過第三方分析紀錄的重播去收集網頁瀏覽者的使用習慣,可能會導致包含個人資料、信用卡和醫療資料等敏感的資訊外洩給第三方,造成盜用身分、網路詐騙和其他問題。

11 月 15 日公布的研究報告顯示,最多人瀏覽的 5 萬個網站中至少有 482 個有這種追蹤功能,其中包含軟體巨頭微軟(Microsoft)和 Adobe 的官網、電子大廠三星(Samsung)和華碩(Asus)的官網以及熱門遊戲英雄聯盟(League of Lengends)的官網,不過這些網站通常不會告知使用者這件事。要檢查出這種功能並不容易,因此實際具備分析紀錄的網站數量更高於這個數字。

報告研究者 Steven Englehardt 選擇了 6 種最普遍的第三方分析功能,發現多多少少都有資料外洩的問題。其中以 FullStory、Hotjar、Yandex 和 Smartlook 最侵犯隱私,所有輸入的敏感資訊都會被記錄下來。Smartlook 和 UserReplay 都會記錄密碼的字數,而 UserReplay 還會記錄信用卡後 4 碼。例如藥局 walgreens.com 和第三方分析服務 FullStory 合作,因此從 FullStory 端能夠看到用戶的名字和處方,得以輕鬆偷窺用戶的醫療狀況。

目前尚未確定哪些機制能夠完全阻擋這種追蹤紀錄,有些廣告攔截軟體可以過濾部分的追蹤但無法封鎖全部,瀏覽器提供的追蹤保護功能也不能阻擋全部的追蹤紀錄。這代表你在網路上的一舉一動和輸入的每個字都會被記錄,即使你沒送出或是根本就刪掉了也一樣。如果想要知道還有哪些網站會在你上網的時候偷窺你,這裡有完整的網站名單。

在有東西可以保護你之前,請牢牢記住這一點,你很可能在網路上裸奔。