Centenas de sites acompanham sua navegação com mais detalhes do que você imagina

6 anos atrás • Atualizado há 4 dias

Existem diversas ferramentas para monitorar seu comportamento na web, geralmente com o objetivo de exibir anúncios direcionados para você. No entanto, centenas de sites — incluindo Lenovo, Intel e Opera — vão um passo além.

Um estudo descobriu que 482 dos 50 mil sites mais populares do mundo usam scripts que gravam cada clique, cada pressionamento de tecla e cada rolagem de página para reproduzi-los depois.

O estudo foi realizado pelo Center for Information Technology Policy, da Universidade de Princeton, e se concentrou em sete empresas que fornecem os chamados “scripts de replay de sessão”: SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook e Hotjar.

O coautor Steven Englehardt instalou esses scripts e descobriu que quatro deles — FullStory, Hotjar, Yandex e Smartlook — gravam tudo o que é digitado em campos de texto. Isso inclui endereços físicos e de e-mail, números de telefone e documentos de identidade.

Eis como isso funciona no FullStory:

Enquanto isso, o Smartlook coleta o número de caracteres digitados em campos de senha; e o UserReplay registra os últimos quatro dígitos de cartões de crédito.

A situação piora quando o site implementa mal esse recurso. A loja de roupas Bonobos estava enviando números completos de cartão de crédito para o FullStory; ela diz ter corrigido isso.

A ideia era entender melhor como os visitantes interagem com o site, e identificar páginas que sejam confusas ou que estejam quebradas. Mas, como escreve Englehardt, “a coleta de conteúdo por scripts de terceiros pode causar o vazamento de informações confidenciais, como problemas médicos, detalhes do cartão de crédito e outras informações pessoais”.

Os scripts de replay de sessão estão presentes em milhares de sites. Mas em 482 sites, o estudo encontrou evidências concretas de que esse recurso estava ativo. Basicamente, eles usaram uma ferramenta para injetar uma cadeia de caracteres e ver se ela era enviada. (Eles refizeram o teste injetando 200 KB de dados para checar se eram transmitidos.)

Entre os sites com “evidências de gravação de sessão”, temos a HP, Autodesk, Windows, Red Hat, Logitech, entre outros — a lista completa está aqui.

Entre os domínios .br, não há sites com evidências de gravação de sessão. “Os desenvolvedores podem escolher não habilitar essa funcionalidade”, explica o estudo. No entanto, temos diversos sites que usam os scripts; são eles:

UOL (Hotjar)
Americanas (Hotjar)
Baixaki (Hotjar)
Submarino (Hotjar)
Reclame Aqui (Hotjar)
Jusbrasil (Hotjar)
ClicRBS (Hotjar)
Vivo (Hotjar)
Shoptime (Hotjar)
PagSeguro (Hotjar)
Magazine Luiza (Hotjar)
Oi (Hotjar)
Click Jogos (Hotjar)
Dicio – Dicionário Online de Português (Hotjar)
Climatempo (Hotjar)
Zoom (Clicktale)
Webmotors (Hotjar)
TIM (Inspectlet)
Softonic (Hotjar)
Peixe Urbano (Hotjar)
Consulta Remédios (Hotjar)
Lance! (Hotjar)
ShopFácil (Hotjar)

De fato, o Hotjar está presente no UOL…

… e também no Baixaki. Mas, como dissemos, não há evidências de que esses sites estejam gravando seu comportamento.

Em comunicado ao Tecnoblog, o Consulta Remédios esclarece que:

A plataforma utiliza a ferramenta Hotjar na home, páginas de bula dos medicamentos e nas páginas de produtos. A empresa não utiliza o Hotjar na página de cadastro em que o usuário fornece seus dados pessoais. O Consulta Remédios segue rigorosamente as estratégias de prevenção de fraude e os requisitos da legislação quanto à segurança dos usuários.

Segundo os pesquisadores, bloqueadores de anúncios geralmente não barram os scripts do FullStory, Smartlook ou UserReplay; mas interrompem a atividade do Yandex, Hotjar, ClickTale e SessionCam. Esses serviços são mencionados no EasyList e EasyPrivacy, listas usadas em extensões de ad-blocking.

Com informações: Princeton, Ars Technica, The Next Web. Atualizado em 24/11.