Meer dan 400 van de populairste websites onthouden alles dat je typt

De meeste mensen die thuis zijn op het internet hebben weten dat veel websites hun bezoeken bijhouden, en onthouden naar welke pagina’s je hebt gekeken. Als je op een webwinkel bijvoorbeeld zoekt naar schoenen, onthoudt die site dat je daar interesse in hebt. De volgende dag zie je dan een reclame voor hetzelfde paar schoenen op Instagram of een andere sociale mediasite.

Het idee van websites die je surfgedrag bijhouden is niet nieuw, maar onderzoek van Princeton University dat vorige week uitkwam geeft aan dat het online tracken van je surf- en klikgedrag nog veel verder gaat dan de meeste gebruikers begrijpen. In het eerste deel van een serie genaamd “No Boundaries” leggen drie onderzoekers van Princetons Center for Information Technology Policy (CITP) uit hoe scripts van derde partijen actief zijn op de populairste websites ter wereld. Die scripts houden je toetsaanslagen bij en sturen die informatie naar servers van andere derde partijen.

Sommige drukbezochte sites bevatten software die alles onthoudt wat je aanklikt of intypt. Als je naar een website gaat en een formulier begint in te vullen maar dat niet afmaakt, wordt volgens de bevindingen van de onderzoekers iedere letter die je hebt getypt nog steeds opgeslagen. Als je per ongeluk iets plakt in een formulier dat je gekopieerd had naar je plakbord, wordt dat ook opgeslagen. Facebookgebruikers waren in 2013 nog woedend toen ze erachter kwamen dat het sociale netwerk iets vergelijkbaars deed met statusupdates. Facebook bleek alles op te slaan dat gebruikers intypten, zelfs als ze het uiteindelijk nooit postten.

Deze scripts, of stukjes code die websites gebruiken, heten “session replay”-scripts. Session replay-scripts worden gebruikt door bedrijven om inzicht te krijgen in hoe klanten hun sites gebruiken en verwarrende webpagina’s te identificeren. Maar de scripts aggregeren niet alleen algemene statistieken: ze nemen ook individuele browse-sessies in hun geheel op en kunnen die helemaal opnieuw afspelen. De scripts draaien niet op iedere pagina, maar worden vaak geplaatst op pagina’s waar gebruikers gevoelige informatie invoeren, zoals wachtwoorden en medische aandoeningen.

Het is moeilijk om als gebruiker te begrijpen wat er gebeurt, “tenzij je diep in het privacybeleid hebt gegraven,” zei co-auteur van het onderzoek Steve Englehardt. “Ik ben allang blij dat gebruikers er nu op zijn gewezen.”

In de onderstaande video kun je zien wat een session replay-script van het bedrijf FullStory op kan nevideo:

Het meest zorgwekkende is dat de informatie die de scripts verzamelen niet “redelijkerwijs anoniem [kan worden] gehouden,” volgens de onderzoekers. Sommige bedrijven die deze software aanbieden, zoals FullStory, ontwerpen trackscripts die de eigenaars van websites zelfs in staat stellen om de opnames die ze verzamelen aan de echte, offscreen, identiteit van een gebruiker te koppelen. In het backend kunnen bedrijven zien dat een gebruiker verbonden is aan een specifiek e-mailadres of een specifieke naam. FullStory reageerde niet op een verzoek om commentaar.

Om hun onderzoek te doen, keken Englehardt, Gunes Acar en Arvind Narayanan naar zeven van de meest populaire session replay-bedrijven, waaronder FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar en Ruslands populairste zoekmachine Yandex. Ze maakten testpagina’s en installeerden daar session replay-scripts van zes van de zeven bedrijven. Hun bevindingen gaven aan dat van tenminste één van de bedrijven scripts lopen op 482 van de 50.000 populairste websites ter wereld, volgens hun Alexa-ranking.

Prominente bedrijven die de scripts gebruiken zijn onder andere de webwinkel voor mannen Bonobos.com, de Amerikaanse supermarktketen Walgreens.com en financieel investeringsbedrijf Fidelity.com. Er moet ook gezegd dat 482 misschien nog wel een voorzichtige schatting is. De scripts houden waarschijnlijk niet iedere gebruiker van een website bij, zeiden de onderzoekers. Toen ze aan het testen waren, konden ze bepaalde scripts waarschijnlijk ook niet vinden, omdat die niet geactiveerd waren. Je kunt alle populaire websites die volgens de onderzoekers session replay-scripts gebruiken hier zien.

Sinds de onderzoekers van Princeton hun onderzoek openbaar hebben gemaakt, hebben zowel Bonobos als Walgreens gezegd dat ze gaan stoppen met het gebruik van session replay-scripts. “We nemen de bescherming van de data van onze klanten erg serieus en we doen daarom nu onderzoek naar de claims uit het onderzoek dat gisteren is gepubliceerd. Terwijl we de opgekomen zorgen beter bekijken en met een overvloed aan voorzichtigheid zijn we gestopt met het delen van data met FullStory,” zei een woordvoerder van Walgreens in een mail.

Bonobos reageerde niet op een verzoek om commentaar, maar het bedrijf zei tegen Wired dat het “niet langer data deelde met FullStory om onze protocollen en operaties te evalueren met betrekking tot hun nut. We zijn constant bezig met het beoordelen en verbeteren van systemen en processen om de data van onze klanten te beschermen.”

Fidelity zei niet dat het zou stoppen met het gebruik van session replay-scripts. “We geven geen commentaar over de relatie die we hebben met verkopers of bedrijven maar een van onze hoogste prioriteiten is de bescherming van informatie over klanten,” zei een woordvoerder in een verklaring.

Bedrijven die replayscripts verkopen, bieden ook een paar redactietools aan die websites in staat stellen gevoelige informatie uit opnames te houden, en sommige verbieden zelfs expliciet het verzamelen van gebruikersdata. Toch heeft het gebruik van de scripts door zoveel van ‘s werelds populairste websites ernstige privacyimplicaties.

“Het verzamelen van paginacontent door replayscripts van derde partijen kan ervoor zorgen dat gevoelige informatie als medische aandoeningen, creditcardgegevens en andere persoonlijke informatie lekken naar de derde partij als onderdeel van het opnemen,” schreven de onderzoekers in hun bericht.

Wachtwoorden worden vaak per ongeluk opgenomen in opnames, ondanks dat de scripts zijn ontworpen om dat juist niet te doen. De onderzoekers ontdekten ook dat bij sommige scripts andere persoonlijke informatie vaak niet weggelaten werd, of maar gedeeltelijk. Twee van de bedrijven, UserReplay en SessionCam, blokkeren standaard alle gebruikersinput (ze houden alleen bij waar gebruikers klikken), wat een veel veiligere benadering is.

Maar het is niet alleen de gebruikersinput die hier belangrijk is. Als je inlogt op een website, kan wat er op het scherm wordt weergegeven ook al gevoelig zijn. De onderzoekers ontdekten dat “geen van de bedrijven standaard automatische redactie lijkt aan te bieden van weergegeven contant; alle weergegeven content lekt uiteindelijk uit.”

De onderzoekers testten bijvoorbeeld Walgreens.com, waar eerst een script van het bedrijf FullStory op draaide. Ondanks het feit dat Walgreens een aantal redactiefeatures van FullStory gebruikt, ontdekten ze dat informatie als medische aandoeningen en medicatievoorschriften nog steeds worden door het script, samen met de echte namen van gebruikers.”

Tot slot maken de auteurs van het onderzoek zich ook zorgen dat bedrijven die session scripts aanbieden kwetsbaar zijn voor hacks, helemaal omdat ze waarschijnlijk waardevolle doelwitten zijn. Veel van deze bedrijven hebben bijvoorbeeld dashboards waar klanten de opnames van surfgedrag opnieuw kunnen afspelen. Maar de dashboards van Yandex, Hotjar en Smartlook gebruiken niet-gecodeerde HTTP-pagina’s, in plaats van veel veiligere en versleutelde HTTPS-pagina’s.

“Hierdoor kan een tussenpersoon een script in de afspeelpagina stoppen en alle opgenomen data eruit halen,” schreven de auteurs.

In een gemailde verklaring zei een woordvoerder van het Russische Yandex dat het bedrijf waar het kan HTTPS probeert te gebruiken, en dat het zijn producten binnenkort gaat updaten zodat het niet langer HTTP gebruikt. “We gebruiken HTTP bewust, omdat sessieopnamesites iframe gebruiken. Helaas is het laden van http-content via https-sites niet mogelijk op browserniveau, dus een http-player is nodig voor het ondersteunen van http-sites voor deze feature,” stond er in de verklaring.

HotJar en UserReplay kwamen niet op tijd voor publicatie met een verklaring. Clicktale en Smartlook reageerden niet op het verzoek om commentaar. CEO van SessionCam Kevin Goodings schreef in een blogpost dat “Iedereen bij SessionCam zich kan vinden in de conclusie van het CITP: ‘Het verbeteren van de gebruikerservaring is een cruciale taak voor uitgevers, maar dat moet niet ten koste gaan van gebruikersprivacy.’ Het hele team van SessionCam draagt deze waarden iedere dag uit. De privacy van uw sitebezoekers en de veiligheid van uw data is voor ons van het grootste belang.”

Maar het zijn niet alleen sessiescripts die je achtervolgen op het internet. Een onderzoek dat eerder dit jaar verscheen ontdekte dat bijna de helft van de 1000 populairste websites ter wereld dezelfde trackingsoftware gebruikt om je gedrag op verschillende manieren in de gaten te houden.

Als je deze scripts wil blokkeren, beschermt het populaire AdBlock Plus je nu tegen alle scripts die in het Princeton-onderzoek naar voren kwamen. Eerder beschermde AdBlock Plus je al tegen een paar, maar het heeft nu een update gekregen naar aanleiding van de bevindingen uit het onderzoek.