Oltre 400 siti tra i più popolari del mondo registrano ogni tasto che premi

La maggior parte delle persone che hanno passato un po' di tempo su internet hanno una perlomeno minima idea del fatto che molti siti registrano le tue visite e le pagine che hai visitato. Quando cerchi per un paio di scarpe sul sito di un particolare venditore, per esempio, lo stesso sito registra il tuo interesse in quel paio di scarpe. Il giorno successivo finirai per vedere una pubblicità per lo stesso paio di scarpe su Instagram o su qualche altro social network.

L'idea che un sito tracci i suoi utenti non è esattamente una novità, ma una ricerca dell'Università di Princeton pubblicata la scorsa settimana mostra come il monitoraggio online sia ben più invasivo di quanto pensi la maggior parte degli utenti. Nel primo episodio di una seria titolata "No Boundaries," tre ricercatori del Center for Information Technology Policy (CITP) di Princeton spiegano come degli script di terze parti che girano su molti dei siti più popolari del mondo traccino qualunque tasto da te premuto sulla tastiera e inoltrino poi quelle informazioni a un server di terze parti.

Alcuni dei siti a maggiore traffico del mondo montano un software che registra ogni volta che clicca ed ogni parola che digiti. Se vai su un sito e cominci a compilare un form e dopodiché lo abbandoni, ogni lettera che hai digitato viene comunque registrata, secondo i risultati dei ricercatori. Se hai accidentalmente copiato in un form qualcosa che era copiato nei tuoi appunti, anche questi dati vengono registrati. Nel 2013, gli utenti di Facebook si erano decisamente alterati quando avevano scoperto che il social network faceva qualcosa di simile con i loro aggiornamenti di stati — Facebook registrava ciò che gli utenti scrivevano, anche se infine non pubblicavano quel determinato stato.

Questi script, o frammenti di codice che alcuni siti fanno girare, sono chiamati "session replay" script. I session replay script sono utilizzati dalle aziende per ottenere dei dati su come gli utenti usano il loro sito e per identificare le pagine web più confusionarie. Ma i script non raccolgono soltanto statistiche generali, sono anche in grado di registrare e ripetere singole sessioni di browsing. Questi script non sono montati su ogni pagina, ma sono spesi piazzati su pagine dove gli utenti inseriscono informazioni sensibili, come password o informazioni sanitarie.

È piuttosto difficile per gli utenti capire cosa sta davvero succedendo "a meno che non ti metti a leggere approfonditamente la privacy policy del sito," mi ha spiegato al telefono Steve Englehardt, uno dei ricercatori dietro lo studio. "Sono solo contento del fatto che gli utenti ora sono consapevoli di questa tecnica."

Nel video sotto, si vede ciò che un session replay script dell'azienda FullStory può registrare:

La parte più problematica è che le informazioni che i session replay script raccolgono non "hanno modo di poter essere ragionevolmente mantenute anonime," secondo i ricercatori. Alcune delle aziende che forniscono questo software, come FullStory, hanno progettato anche dei tracking script che permettono ai proprietari dei siti di collegare le registrazioni che raccolgono alle identità reali degli utenti. Nel backend, dunque, le aziende possono sapere a quale utente è collegato una specifica email o nome. FullStory non ha risposto alla nostra richiesta di commento.

Per portare avanti il loro studio, Englehardt, Gunes Acar e Arvind Narayanan hanno analizzato sette delle più famose aziende che producono session replay script, incluse FullStory, SessionCam, ClickTale, Smartlook, UserReplay, Hotjar e il motore di ricerca più popolare in Russia: Yandex. Hanno creato delle pagine di test e hanno installato dei session replay script provenienti da sei delle sette aziende selezionate. I loro risultati indicano che almeno uno degli script viene usato da 482 dei 50.000 siti più popolari del mondo, secondo le classifiche di Alexa.

Le aziende note che usano questi script includono il venditore di prodotti per uomini Bonobos.com, Walgreens.com, e il gruppo di investimenti finanziari Fidelity.com. Vale anche la pena sottolineare come 482 sia probabilmente una stima al ribasso. Probabilmente questi script non registrano ogni utenti che visita il sito, mi hanno spiegato i ricercatori. Quindi, mentre stavano portando avanti i loro test, probabilmente non hanno rilevato alcuni script perché non si erano attivati. È possibile vedere una lista di tutti i siti popolari che usano i session replay script in questo documento compilato dai ricercatori.

Da quando i ricercatori di Princeton hanno pubblicato la loro ricerca, sia Bonobos che Walgreens hanno dichiarato che smetteranno di usare i session replay script. "Per noi la protezione dei dati dei nostri clienti è una faccenda molto seria e stiamo indagando le affermazioni portate avanti dello studio che è stato pubblicato ieri. Mentre analizziamo le problematiche sollevate, per essere sicuri abbiamo sospeso la nostra condivisione di dati con FullStory," mi ha spiegato per mail un portavoce di Walgreens lo scorso giovedì.

Bonobos non ha risposto alla richiesta di commento, ma l'azienda ha detto a Wired che "ha cessato la condivisone di dati con FullStory per rivalutare i nostri protocolli e le nostre operazioni circa i loro servizi. Verifichiamo e rafforziamo continuamente i nostri sistemi e i nostri processi al fine di proteggere i dati dei nostri clienti."

Fidelity non ha dichiarato che avrebbe sospeso l'utilizzo dei session replay script. "Non commentiamo i nostri rapporti con i venditori o con le aziende ma una delle nostre priorità più urgenti è proteggere i dati dei nostri clienti," ha spiegato un portavoce in una dichiarazione.

Le aziende che vendono i replay script offrono una serie di strumenti di redazione che permettono ai siti di escludere i contenuti sensibili dalle registrazioni, alcuni addirittura vietano esplicitamente di raccogliere i dati degli utenti. Ciononostante, l'utilizzo da parte di così tanti siti popolari dei session replay script ha delle implicazioni decisamente pesanti per la privacy.

"La raccolta di contenuti da parte di replay script di terze parti potrebbe risultare nell'apparizione di informazioni sensibili come dettagli sanitari o dati bancari in dei leak che potrebbero colpire queste terze parti," hanno scritto i ricercatori nel loro post.

Le password vengono spesso incluse accidentalmente in queste registrazioni, benché gli script siano progettati per escluderle. I ricercatori hanno scoperto che anche altre informazioni personali vengono spesso incluse, perlomeno con alcuni di questi script. Due delle aziende, UserReplay e SessionCam, bloccano tutti gli input dell'utente di default (tracciano soltanto i clic dell'utente), producendo così un approccio decisamente più sicuro.

Non è importante soltanto il contenuto dell'input dell'utente. Quando loghi in un sito i contenuti sensibili si trovano anche direttamente sullo schermo. I ricercatori hanno scoperto che "nessuna delle aziende fornisce una censura automatica e di default dei contenuti mostrati; tutto ciò che ciò che viene mostrato sullo schermo finisce per leakare."

Per esempio, i ricercatori hanno messo alla prova Walgreens.com, che una volta eseguiva uno script dell'azienda FullStory. A dispetto del fatto che Walgreens usi a tutti gli effetti una serie di elementi di redazione offerti da FullStory, hanno scoperto che le informazioni come condizioni mediche e prescrizioni sono lo stesso raccolte dal session replay script, insieme ai nomi veri degli utenti.

Infine, gli autori dello studio sono preoccupati che le compagnie con session script potrebbero essere vulnerabili a determinati hack, specialmente perché sono obiettivi di alto profilo. Per esempio, molte di queste aziende hanno dashboard in cui i clienti possono riprodurre in playback le registrazioni che raccolgono. Ma le dashboard di Yandex, Hotjar e Smartlook eseguono pagine HTTP non criptate, anziché pagine HTTPS criptate, molto più sicure.

"Ciò permette a un man-in-the-middle attivo di iniettare uno script nella pagina di playback e estrarre tutti i dati registrati," hanno scritto gli autori dello studio.

In una dichiarazione inviata via email, un portavoce di Yandex mi ha detto che l'azienda cerca di usare il protocollo HTTPS ogni volta che può, e ha detto che aggiornerà il proprio prodotto presto, affinché non usi più l'HTTP. "HTTP è usato internazionalmente, così come i siti in cui viene registrata la sessione usando iframe. Sfortunatamente, caricare contenuti http da siti https è proibito a livello browser, per cui è necessario un player http per supportare i siti http per questa feature," si legge nella dichiarazione.

HotJar e UserReplay non hanno emesso alcun comunicato in tempo per la pubbicazione di questo pezzo. Clicktale e Smartlook non hanno risposto alla nostra richiesta di commento. Kevin Goodings, CEO di SessionCam, ha scritto in un blog post che "Chiunque a SessionCam può andare oltre le conclusioni del CITP: 'migliorare la user experience è una missione critica per i publisher. Ad ogni modo, non dovrebbe compromettere la privacy degli utenti.' L'intero team di SessionCam vive secondo questi principi ogni giorno. La privacy di chi visita il nostro sito e la sicurezza dei vostri dati sono di primaria importanza per noi."

Non sono solo i session script che ti seguono in giro per internet. Uno studio pubblicato all'inizio di quest'anno ha scoperto che quasi la metà dei 1000 siti più popolari del mondo usano lo stesso software di tracciamento per monitorare il nostro comportamento in vari modi.

Se vuoi bloccare i session replay script, lo strumento di ad-blocking più utilizzato, AdBlock Plus, è ora in grado di proteggerti da tutti quelli documentati nello studio di Princeton. In passato, AdBlock Plus funzionava solo contro qualcuno, ma è stato di recente aggiornato per renderlo efficace contro tutti, proprio in conseguenza al lavoro fatto dai ricercatori.