Знайдено 100 тисяч сайтів, яким відомі навіть ті дані, які ви не надсилали

Виявляється, на багатьох сайтах є механізм, що дозволяє вловлювати всі натискання на клавіатурі, навіть якщо ви не підтвердили відправлення інформації через вебформу, пише WIRED. І таких сайтів дослідники нарахували понад 100 тисяч, і серед них дуже популярні.

Нещодавнє дослідження вчених Університету Радбуда й Університету Лозанни показало, що багато з найпопулярніших сайтів у світі використовують спеціальні скрипти для відстеження всього, що ви друкуєте на їхніх сторінках, навіть якщо ви не надсилаєте заповнену форму або видаляєте свій текст. Ці дані можуть бути передані третім сторонам для рекламних чи аналітичних цілей без вашого відома чи згоди.

Фахівці проаналізували 100 тисяч найбільш відвідуваних сайтів у США та ЄС і виявили, що близько 10% із них використовують шпигунські скрипти (їх ще називають "пікселі"). Серед них були такі відомі ресурси як Amazon, Walmart, eBay, CNN і NYTimes.

Як працюють пікселі-шпигуни

Піксель — це невеликий фрагмент коду, який вбудовується в HTML-код сайту й завантажується під час відкриття сторінки. Він може бути невидимим для ока та відправляти різні події на сервери третіх сторін, такі як перегляд сторінки, додавання товару в кошик, оформлення замовлення тощо. Пікселі працюють так: підключаються до форм на сайтах і реєструють кожне натискання клавіші або рух миші користувача. Потім надсилають ці дані на сервери третіх сторін через зашифровані канали. Так треті сторони дізнаються про ваше ім'я, адресу електронної пошти, номер телефону, номер кредитної картки й іншу чутливу інформацію.

Один із прикладів такого скрипту — FullStory Session Replay Script, який використовують більш як 20 тис. сайтів. Він записує всі дії користувача на сайті як відео та зберігає його для подальшого перегляду адміністраторами вебресурсу або іншими особами. Це може допомогти покращити досвід користувача або виправити помилки на сайті, але також може порушувати конфіденційність користувачів.

Інший приклад — Meta Pixel (раніше Facebook Pixel) і TikTok Pixel, які використовуються на більш ніж 8 тис. сайтів для відстеження поведінки користувачів і показують їм рекламу відповідно до їхніх інтересів. Ці скрипти також можуть збирати дані про те, що користувачі роблять на інших сайтах, які теж використовують ці ж пікселі. Так вони створюють детальний профіль користувача та його онлайн-активності.

Як захиститися від стеження на сайтах

Найпростіший спосіб, за словами кіберфахівців, — двічі подумати перед тим, що ви вводите в ту чи іншу форму на сайті. Візьміть собі за звичку мати кілька адрес електронної пошти: одну — основну для ділового листування та ще одну для різноманітних покупок в інтернет-магазинах, підписок на сервіси або реєстрації на вебресурсах. Тільки не слід вказувати в "сміттєвій пошті" свої реальні дані, а головне — не використовувати один і той же пароль для основної пошти й "сміттєвої".

Також можна встановити деякі розширення, наприклад NoScript, який має версію для всіх браузерів. Він допоможе запобігти відстеженням, але з ним непросто працювати. Дуже часто розширення відключає функціонал сайтів, тому деякі кнопки та форми можуть стати не робочими.

Але найпростіший спосіб, звичайно ж, подумати двічі: що ви вводите у форму запиту й чи довіряєте сайту, на який зайшли.

Раніше Фокус розповідав про найнебезпечніше угруповання хакерів із ГРУ РФ і про те, хто за нею стоїть.