Início » Internet » Centenas de sites acompanham sua navegação com mais detalhes do que você imagina

Centenas de sites acompanham sua navegação com mais detalhes do que você imagina

Por
2 anos atrás

Existem diversas ferramentas para monitorar seu comportamento na web, geralmente com o objetivo de exibir anúncios direcionados para você. No entanto, centenas de sites — incluindo Lenovo, Intel e Opera — vão um passo além.

Um estudo descobriu que 482 dos 50 mil sites mais populares do mundo usam scripts que gravam cada clique, cada pressionamento de tecla e cada rolagem de página para reproduzi-los depois.

Imagem por Darwin Laganzon/Pixabay

O estudo foi realizado pelo Center for Information Technology Policy, da Universidade de Princeton, e se concentrou em sete empresas que fornecem os chamados “scripts de replay de sessão”: SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook e Hotjar.

O coautor Steven Englehardt instalou esses scripts e descobriu que quatro deles — FullStory, Hotjar, Yandex e Smartlook — gravam tudo o que é digitado em campos de texto. Isso inclui endereços físicos e de e-mail, números de telefone e documentos de identidade.

Eis como isso funciona no FullStory:

Enquanto isso, o Smartlook coleta o número de caracteres digitados em campos de senha; e o UserReplay registra os últimos quatro dígitos de cartões de crédito.

A situação piora quando o site implementa mal esse recurso. A loja de roupas Bonobos estava enviando números completos de cartão de crédito para o FullStory; ela diz ter corrigido isso.

A ideia era entender melhor como os visitantes interagem com o site, e identificar páginas que sejam confusas ou que estejam quebradas. Mas, como escreve Englehardt, “a coleta de conteúdo por scripts de terceiros pode causar o vazamento de informações confidenciais, como problemas médicos, detalhes do cartão de crédito e outras informações pessoais”.

Os scripts de replay de sessão estão presentes em milhares de sites. Mas em 482 sites, o estudo encontrou evidências concretas de que esse recurso estava ativo. Basicamente, eles usaram uma ferramenta para injetar uma cadeia de caracteres e ver se ela era enviada. (Eles refizeram o teste injetando 200 KB de dados para checar se eram transmitidos.)

Entre os sites com “evidências de gravação de sessão”, temos a HP, Autodesk, Windows, Red Hat, Logitech, entre outros — a lista completa está aqui.

Entre os domínios .br, não há sites com evidências de gravação de sessão. “Os desenvolvedores podem escolher não habilitar essa funcionalidade”, explica o estudo. No entanto, temos diversos sites que usam os scripts; são eles:

  • UOL (Hotjar)
  • Americanas (Hotjar)
  • Baixaki (Hotjar)
  • Submarino (Hotjar)
  • Reclame Aqui (Hotjar)
  • Jusbrasil (Hotjar)
  • ClicRBS (Hotjar)
  • Vivo (Hotjar)
  • Shoptime (Hotjar)
  • PagSeguro (Hotjar)
  • Magazine Luiza (Hotjar)
  • Oi (Hotjar)
  • Click Jogos (Hotjar)
  • Dicio – Dicionário Online de Português (Hotjar)
  • Climatempo (Hotjar)
  • Zoom (Clicktale)
  • Webmotors (Hotjar)
  • TIM (Inspectlet)
  • Softonic (Hotjar)
  • Peixe Urbano (Hotjar)
  • Consulta Remédios (Hotjar)
  • Lance! (Hotjar)
  • ShopFácil (Hotjar)

De fato, o Hotjar está presente no UOL…

… e também no Baixaki. Mas, como dissemos, não há evidências de que esses sites estejam gravando seu comportamento.

Em comunicado ao Tecnoblog, o Consulta Remédios esclarece que:

A plataforma utiliza a ferramenta Hotjar na home, páginas de bula dos medicamentos e nas páginas de produtos. A empresa não utiliza o Hotjar na página de cadastro em que o usuário fornece seus dados pessoais. O Consulta Remédios segue rigorosamente as estratégias de prevenção de fraude e os requisitos da legislação quanto à segurança dos usuários.

Segundo os pesquisadores, bloqueadores de anúncios geralmente não barram os scripts do FullStory, Smartlook ou UserReplay; mas interrompem a atividade do Yandex, Hotjar, ClickTale e SessionCam. Esses serviços são mencionados no EasyList e EasyPrivacy, listas usadas em extensões de ad-blocking.

Com informações: Princeton, Ars Technica, The Next Web. Atualizado em 24/11.

Mais sobre:
Participe das conversas do Tecnoblog

Leia o post inteiro antes de comentar
e seja legal com seus amiguinhos.

Carregar Comentários Conheça nossa política de comentários aqui.