Início » Web » Centenas de sites acompanham sua navegação com mais detalhes do que você imagina

Centenas de sites acompanham sua navegação com mais detalhes do que você imagina

Por
22/11/2017 às 17h28
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Existem diversas ferramentas para monitorar seu comportamento na web, geralmente com o objetivo de exibir anúncios direcionados para você. No entanto, centenas de sites — incluindo Lenovo, Intel e Opera — vão um passo além.

Um estudo descobriu que 482 dos 50 mil sites mais populares do mundo usam scripts que gravam cada clique, cada pressionamento de tecla e cada rolagem de página para reproduzi-los depois.

Imagem por Darwin Laganzon/Pixabay

O estudo foi realizado pelo Center for Information Technology Policy, da Universidade de Princeton, e se concentrou em sete empresas que fornecem os chamados “scripts de replay de sessão”: SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook e Hotjar.

O coautor Steven Englehardt instalou esses scripts e descobriu que quatro deles — FullStory, Hotjar, Yandex e Smartlook — gravam tudo o que é digitado em campos de texto. Isso inclui endereços físicos e de e-mail, números de telefone e documentos de identidade.

Eis como isso funciona no FullStory:

Enquanto isso, o Smartlook coleta o número de caracteres digitados em campos de senha; e o UserReplay registra os últimos quatro dígitos de cartões de crédito.

A situação piora quando o site implementa mal esse recurso. A loja de roupas Bonobos estava enviando números completos de cartão de crédito para o FullStory; ela diz ter corrigido isso.

A ideia era entender melhor como os visitantes interagem com o site, e identificar páginas que sejam confusas ou que estejam quebradas. Mas, como escreve Englehardt, “a coleta de conteúdo por scripts de terceiros pode causar o vazamento de informações confidenciais, como problemas médicos, detalhes do cartão de crédito e outras informações pessoais”.

Os scripts de replay de sessão estão presentes em milhares de sites. Mas em 482 sites, o estudo encontrou evidências concretas de que esse recurso estava ativo. Basicamente, eles usaram uma ferramenta para injetar uma cadeia de caracteres e ver se ela era enviada. (Eles refizeram o teste injetando 200 KB de dados para checar se eram transmitidos.)

Entre os sites com “evidências de gravação de sessão”, temos a HP, Autodesk, Windows, Red Hat, Logitech, entre outros — a lista completa está aqui.

Entre os domínios .br, não há sites com evidências de gravação de sessão. “Os desenvolvedores podem escolher não habilitar essa funcionalidade”, explica o estudo. No entanto, temos diversos sites que usam os scripts; são eles:

  • UOL (Hotjar)
  • Americanas (Hotjar)
  • Baixaki (Hotjar)
  • Submarino (Hotjar)
  • Reclame Aqui (Hotjar)
  • Jusbrasil (Hotjar)
  • ClicRBS (Hotjar)
  • Vivo (Hotjar)
  • Shoptime (Hotjar)
  • PagSeguro (Hotjar)
  • Magazine Luiza (Hotjar)
  • Oi (Hotjar)
  • Click Jogos (Hotjar)
  • Dicio – Dicionário Online de Português (Hotjar)
  • Climatempo (Hotjar)
  • Zoom (Clicktale)
  • Webmotors (Hotjar)
  • TIM (Inspectlet)
  • Softonic (Hotjar)
  • Peixe Urbano (Hotjar)
  • Consulta Remédios (Hotjar)
  • Lance! (Hotjar)
  • ShopFácil (Hotjar)

De fato, o Hotjar está presente no UOL…

… e também no Baixaki. Mas, como dissemos, não há evidências de que esses sites estejam gravando seu comportamento.

Em comunicado ao Tecnoblog, o Consulta Remédios esclarece que:

A plataforma utiliza a ferramenta Hotjar na home, páginas de bula dos medicamentos e nas páginas de produtos. A empresa não utiliza o Hotjar na página de cadastro em que o usuário fornece seus dados pessoais. O Consulta Remédios segue rigorosamente as estratégias de prevenção de fraude e os requisitos da legislação quanto à segurança dos usuários.

Segundo os pesquisadores, bloqueadores de anúncios geralmente não barram os scripts do FullStory, Smartlook ou UserReplay; mas interrompem a atividade do Yandex, Hotjar, ClickTale e SessionCam. Esses serviços são mencionados no EasyList e EasyPrivacy, listas usadas em extensões de ad-blocking.

Com informações: Princeton, Ars Technica, The Next Web. Atualizado em 24/11.

Mais sobre:
  • Tenente Figueiredo

    Me surpreende saber que o Baixaki ainda existe.

    • Pq?

    • Jairo 😎🍺

      Concordo , merece desaparecer junto com a suíte Baidu.

    • leoleonardo85

      Micreiro comum ainda deve usar.

    • tuneman

      dá uma olhada la no gamevicio…., tá um câncer!

      • Git Gud

        Sempre foi.

    • Keaton

      Faz tempos que eu troquei o Baixaki pelo Filehippo. haha (desde a presepada de enfiar aquele instalador de crapware nos downloads…)

    • Marco Antonio

      Por acaso do destino, tive a infelicidade de conhecer o ex dono do baixaki (que também era dono do “tudogostoso”, site de receitas).
      Um casal totalmente tapado que esbanja com os milhoes que lucraram com a venda de ambos. É aquele caso que voce pergunta “pq nao pensei nisso antes”

    • Marlon Mattos

      Pois é né

  • Gustavo Bonato Abrão

    Qualquer responsável por um produto digital com alto tráfego usa ferramentas de mapa de calor para afinar a navegação. Me surpreende se espantarem com isso, todos os principais sites do Brasil usam há mais de uma década (e por isso são os principais). Agora, claro, o exemplo ali do cartão de crédito é sim um baita de uma c***da.

    • Programador Front-End

      heatmap é um dado geral, e analytics todo mundo usa. O problema está em mapear todos os dados individuais e mapear tudo o que a pessoa digita no site.

      • Gustavo Bonato Abrão

        Exato, concordo contigo, mas a ênfase no Hotjar leva a crer que ele é um problema, não vejo dessa forma. Agora as outras ali tá demais mesmo.

  • Alexandre Copi

    Esse tipo de plugin/metadata é usada basicamente pra melhorar a experiência de uso (ou conversão) dos sites, não sei onde tá o susto disso. É claro que esses pontos de segurança são importantes, mas aí também vai muito do tratamento da informação das ferramentas.

    • grande_dino_2

      O susto é a extensão de dados coletados, quais as consequências em termos de privacidade, qual a real utilização desses dados e, claro, quão seguro é a coleta, tráfego e armazenamento dessas informações.
      Ou pelo menos é o que suponho que sejam os maiores sustos.

      E por isso sempre ando com NoScript ligado.

      • Alexandre Copi

        Na grande maioria dos sites você não deixa muita informação frágil, por isso não chega a ser um problema. O caso são grandes sites e e-commerces terem uma brecha dessa (coletar dados do cartão de crédito por exemplo).

        No geral a coleta de dados de formulário é usada pra saber em que ponto o usuário desistiu de terminar de preencher, e encontrar assim erros (ou reduzir campos, etc). Também é uma grande falha dos plugins deixarem isso aberto assim, por que conheço o hotjar e eles não são o tipo de empresa que vende a feature pra atos ilícitos (apesar de abrir a brecha de poder ser usada pra isso);

        Como você disse que usa noscript, nunca vai ser atingido haha, mas isso é bom pra eles ficarem ligados, sempre existe maneiras de contornar essas falhas. Por exemplo em formulários com cartão de crédito ao invés de gravar os números, só salvar a quantidade de números preenchida (enviar um XXXX-XXX-XXX da vida). Ninguém precisa nem deve ter acesso a essa informação.

  • Ricardo – Vaz Lobo

    O Grande Irmão zela por ti.

    • Gustavo Bonato Abrão

      Hehe pensa se forem ver o que a Amazon, o Facebook e o Google grava de dados, se na parametrização já é sinistro, imagina por dentro.

      • Abraão Pereira de Sousa

        Tipo um navegador por aí… ou login’s

  • Jose X.

    ainda bem que essas coisas só acontecem em países comunistas

    • Gaba

      vai la morar na china brother 😉

  • leoleonardo85

    Cadê aquela extensão do Chrome que trava isso?

    • tuneman

      ghostery?

    • Gabriel Rezende

      Usar o Chrome pra ter privacidade, engraçado, haha.

      • leoleonardo85

        Quando eu falei de privacidade?

  • Keaton

    Imagino que o Tecnoblog não espie seus usuários. haha

  • André Lima

    Aqui no trabalho usamos o FullStory para replicar e identificar bugs que nao conseguimos reproduzir somente com a descrição do usuário. Não vejo mal algum nisso

  • adrielmenezes

    Vou reclamar no ReclameAqui sobre essa prática……..OH WAIT!

  • Marlon Mattos

    Isso é normal, não tem o porque se chocar com isso