Даже если вы просто набрали текст в форме на сайте, но не подтвердили ввод, все равно ваши данные уже известны.
Оказывается, на многих сайтах есть механизм, позволяющий улавливать все нажатия на клавиатуре, даже если вы не подтвердили отправление информации через веб-форму, пишет WIRED. И таких сайтов исследователи насчитали более 100 тысяч, и среди них есть очень популярные.
Недавнее исследование ученых Университета Радбуда и Университета Лозанны показало, что многие из самых популярных сайтов в мире используют специальные скрипты для отслеживания всего, что вы печатаете на их страницах, — даже если вы не отправляете заполненную форму или удаляете свой текст. Эти данные могут быть переданы третьим сторонам для рекламных или аналитических целей без вашего ведома или согласия.
Специалисты проанализировали 100 тысяч самых посещаемых сайтов в США и ЕС и обнаружили, что около 10% из них используют шпионские скрипты (их еще называют "пиксели"). Среди них были такие известные ресурсы как Amazon, Walmart, eBay, CNN и NYTimes.
Как работают пиксели-шпионы
Пиксель — это небольшой фрагмент кода, который встраивается в HTML-код сайта и загружается при открытии страницы. Он может быть невидимым для глаза и отправлять различные события на серверы третьих сторон, такие как просмотр страницы, добавление товара в корзину, оформление заказа и т.д. Пиксели работают следующим образом: подключаются к формам на сайтах и регистрируют каждое нажатие клавиши или движение мыши пользователя. Затем отправляют эти данные на серверы третьих сторон через зашифрованные каналы. Таким образом третьи стороны узнают ваши имя, адрес электронной почты, номер телефона, номер кредитной карты и другую чувствительную информацию.
Один из примеров такого скрипта — FullStory Session Replay Script, который используется более чем 20 тыс. сайтов. Он записывает все действия пользователя на сайте как видео и сохраняет его для последующего просмотра администраторами веб-ресурса или другими лицами. Это может помочь улучшить пользовательский опыт или исправить ошибки на сайте, но также может нарушать конфиденциальность пользователей.
Другой пример — Meta Pixel (ранее Facebook Pixel) и TikTok Pixel, которые используются на более чем 8 тыс. сайтов для отслеживания поведения пользователей и показывают им рекламу в соответствии с их интересами. Эти скрипты также могут собирать данные о том, что пользователи делают на других сайтах, тоже использующих эти же пиксели. Таким образом, они создают детальный профиль пользователя и его онлайн-активности.
Как защититься от слежки на сайтах
Самый простой способ, по словам киберспециалистов, – дважды подумать перед тем, что вы вводите в ту или иную форму на сайте. Возьмите себе в привычку иметь несколько адресов электронной почты: одну – основную для деловой переписки и еще одну для всяческого рода покупок в интернет-магазинах, подписок на сервисы или регистрации на веб-ресурсах. Только не следует указывать в "мусорной почте" свои реальные данные, а главное – не использовать один и тот же пароль для основной почты и "мусорной".
Так же можно установить некоторые расширения, например NoScript, который имеет версию для всех браузеров. Он поможет предотвратить отслеживания, но с ним непросто работать. Очень часто расширение отключает функционал сайтов, так что некоторые кнопки и формы могут стать не рабочими.
Но самый простой способ, конечно же, подумать дважды: что вы вводите в форму запроса и доверяете ли вы сайту, на который зашли.
Ранее Фокус рассказывал о самой опасной группировке хакеров из ГРУ РФ и о том, кто за ней стоит.