Existem diversas ferramentas para monitorar seu comportamento na web, geralmente com o objetivo de exibir anúncios direcionados para você. No entanto, centenas de sites — incluindo Lenovo, Intel e Opera — vão um passo além.

Um estudo descobriu que 482 dos 50 mil sites mais populares do mundo usam scripts que gravam cada clique, cada pressionamento de tecla e cada rolagem de página para reproduzi-los depois.

Imagem por Darwin Laganzon/Pixabay

O estudo foi realizado pelo Center for Information Technology Policy, da Universidade de Princeton, e se concentrou em sete empresas que fornecem os chamados “scripts de replay de sessão”: SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook e Hotjar.

O coautor Steven Englehardt instalou esses scripts e descobriu que quatro deles — FullStory, Hotjar, Yandex e Smartlook — gravam tudo o que é digitado em campos de texto. Isso inclui endereços físicos e de e-mail, números de telefone e documentos de identidade.

Eis como isso funciona no FullStory:

https://www.youtube.com/watch?v=l0Yc8s0DTZA

Enquanto isso, o Smartlook coleta o número de caracteres digitados em campos de senha; e o UserReplay registra os últimos quatro dígitos de cartões de crédito.

A situação piora quando o site implementa mal esse recurso. A loja de roupas Bonobos estava enviando números completos de cartão de crédito para o FullStory; ela diz ter corrigido isso.

A ideia era entender melhor como os visitantes interagem com o site, e identificar páginas que sejam confusas ou que estejam quebradas. Mas, como escreve Englehardt, “a coleta de conteúdo por scripts de terceiros pode causar o vazamento de informações confidenciais, como problemas médicos, detalhes do cartão de crédito e outras informações pessoais”.

Os scripts de replay de sessão estão presentes em milhares de sites. Mas em 482 sites, o estudo encontrou evidências concretas de que esse recurso estava ativo. Basicamente, eles usaram uma ferramenta para injetar uma cadeia de caracteres e ver se ela era enviada. (Eles refizeram o teste injetando 200 KB de dados para checar se eram transmitidos.)

Entre os sites com “evidências de gravação de sessão”, temos a HP, Autodesk, Windows, Red Hat, Logitech, entre outros — a lista completa está aqui.

Entre os domínios .br, não há sites com evidências de gravação de sessão. “Os desenvolvedores podem escolher não habilitar essa funcionalidade”, explica o estudo. No entanto, temos diversos sites que usam os scripts; são eles:

  • UOL (Hotjar)
  • Americanas (Hotjar)
  • Baixaki (Hotjar)
  • Submarino (Hotjar)
  • Reclame Aqui (Hotjar)
  • Jusbrasil (Hotjar)
  • ClicRBS (Hotjar)
  • Vivo (Hotjar)
  • Shoptime (Hotjar)
  • PagSeguro (Hotjar)
  • Magazine Luiza (Hotjar)
  • Oi (Hotjar)
  • Click Jogos (Hotjar)
  • Dicio – Dicionário Online de Português (Hotjar)
  • Climatempo (Hotjar)
  • Zoom (Clicktale)
  • Webmotors (Hotjar)
  • TIM (Inspectlet)
  • Softonic (Hotjar)
  • Peixe Urbano (Hotjar)
  • Consulta Remédios (Hotjar)
  • Lance! (Hotjar)
  • ShopFácil (Hotjar)

De fato, o Hotjar está presente no UOL…

… e também no Baixaki. Mas, como dissemos, não há evidências de que esses sites estejam gravando seu comportamento.

Em comunicado ao Tecnoblog, o Consulta Remédios esclarece que:

A plataforma utiliza a ferramenta Hotjar na home, páginas de bula dos medicamentos e nas páginas de produtos. A empresa não utiliza o Hotjar na página de cadastro em que o usuário fornece seus dados pessoais. O Consulta Remédios segue rigorosamente as estratégias de prevenção de fraude e os requisitos da legislação quanto à segurança dos usuários.

Segundo os pesquisadores, bloqueadores de anúncios geralmente não barram os scripts do FullStory, Smartlook ou UserReplay; mas interrompem a atividade do Yandex, Hotjar, ClickTale e SessionCam. Esses serviços são mencionados no EasyList e EasyPrivacy, listas usadas em extensões de ad-blocking.

Com informações: Princeton, Ars Technica, The Next Web. Atualizado em 24/11.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Peter Soutez

A Smartlook abordou algumas dessas questões na semana passada e compartilhou um plano para aumentar ainda mais a privacidade e segurança de dados: https://www.smartlook.com/b...

Marlon Mattos
Pois é né
Marlon Mattos
Isso é normal, não tem o porque se chocar com isso
biscoitao

Vou reclamar no ReclameAqui sobre essa prática........OH WAIT!

adrielmenezes
Vou reclamar no ReclameAqui sobre essa prática........OH WAIT!
leoleonardo85
Quando eu falei de privacidade?
ばか

Sempre foi.

Git Gud
Sempre foi.
Marco Antonio
Por acaso do destino, tive a infelicidade de conhecer o ex dono do baixaki (que também era dono do "tudogostoso", site de receitas). Um casal totalmente tapado que esbanja com os milhoes que lucraram com a venda de ambos. É aquele caso que voce pergunta "pq nao pensei nisso antes"
Alexandre Copi
Na grande maioria dos sites você não deixa muita informação frágil, por isso não chega a ser um problema. O caso são grandes sites e e-commerces terem uma brecha dessa (coletar dados do cartão de crédito por exemplo). No geral a coleta de dados de formulário é usada pra saber em que ponto o usuário desistiu de terminar de preencher, e encontrar assim erros (ou reduzir campos, etc). Também é uma grande falha dos plugins deixarem isso aberto assim, por que conheço o hotjar e eles não são o tipo de empresa que vende a feature pra atos ilícitos (apesar de abrir a brecha de poder ser usada pra isso); Como você disse que usa noscript, nunca vai ser atingido haha, mas isso é bom pra eles ficarem ligados, sempre existe maneiras de contornar essas falhas. Por exemplo em formulários com cartão de crédito ao invés de gravar os números, só salvar a quantidade de números preenchida (enviar um XXXX-XXX-XXX da vida). Ninguém precisa nem deve ter acesso a essa informação.
André Lima
Aqui no trabalho usamos o FullStory para replicar e identificar bugs que nao conseguimos reproduzir somente com a descrição do usuário. Não vejo mal algum nisso
Gaba
vai la morar na china brother ;)
Keaton
Imagino que o Tecnoblog não espie seus usuários. haha
Gabriel Rezende
Usar o Chrome pra ter privacidade, engraçado, haha.
Keaton
Faz tempos que eu troquei o Baixaki pelo Filehippo. haha (desde a presepada de enfiar aquele instalador de crapware nos downloads...)
Exibir mais comentários