Centenas de sites acompanham sua navegação com mais detalhes do que você imagina
Existem diversas ferramentas para monitorar seu comportamento na web, geralmente com o objetivo de exibir anúncios direcionados para você. No entanto, centenas de sites — incluindo Lenovo, Intel e Opera — vão um passo além.
Um estudo descobriu que 482 dos 50 mil sites mais populares do mundo usam scripts que gravam cada clique, cada pressionamento de tecla e cada rolagem de página para reproduzi-los depois.
O estudo foi realizado pelo Center for Information Technology Policy, da Universidade de Princeton, e se concentrou em sete empresas que fornecem os chamados “scripts de replay de sessão”: SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook e Hotjar.
O coautor Steven Englehardt instalou esses scripts e descobriu que quatro deles — FullStory, Hotjar, Yandex e Smartlook — gravam tudo o que é digitado em campos de texto. Isso inclui endereços físicos e de e-mail, números de telefone e documentos de identidade.
Eis como isso funciona no FullStory:
Enquanto isso, o Smartlook coleta o número de caracteres digitados em campos de senha; e o UserReplay registra os últimos quatro dígitos de cartões de crédito.
A situação piora quando o site implementa mal esse recurso. A loja de roupas Bonobos estava enviando números completos de cartão de crédito para o FullStory; ela diz ter corrigido isso.
A ideia era entender melhor como os visitantes interagem com o site, e identificar páginas que sejam confusas ou que estejam quebradas. Mas, como escreve Englehardt, “a coleta de conteúdo por scripts de terceiros pode causar o vazamento de informações confidenciais, como problemas médicos, detalhes do cartão de crédito e outras informações pessoais”.
Os scripts de replay de sessão estão presentes em milhares de sites. Mas em 482 sites, o estudo encontrou evidências concretas de que esse recurso estava ativo. Basicamente, eles usaram uma ferramenta para injetar uma cadeia de caracteres e ver se ela era enviada. (Eles refizeram o teste injetando 200 KB de dados para checar se eram transmitidos.)
Entre os sites com “evidências de gravação de sessão”, temos a HP, Autodesk, Windows, Red Hat, Logitech, entre outros — a lista completa está aqui.
Entre os domínios .br, não há sites com evidências de gravação de sessão. “Os desenvolvedores podem escolher não habilitar essa funcionalidade”, explica o estudo. No entanto, temos diversos sites que usam os scripts; são eles:
- UOL (Hotjar)
- Americanas (Hotjar)
- Baixaki (Hotjar)
- Submarino (Hotjar)
- Reclame Aqui (Hotjar)
- Jusbrasil (Hotjar)
- ClicRBS (Hotjar)
- Vivo (Hotjar)
- Shoptime (Hotjar)
- PagSeguro (Hotjar)
- Magazine Luiza (Hotjar)
- Oi (Hotjar)
- Click Jogos (Hotjar)
- Dicio – Dicionário Online de Português (Hotjar)
- Climatempo (Hotjar)
- Zoom (Clicktale)
- Webmotors (Hotjar)
- TIM (Inspectlet)
- Softonic (Hotjar)
- Peixe Urbano (Hotjar)
- Consulta Remédios (Hotjar)
- Lance! (Hotjar)
- ShopFácil (Hotjar)
De fato, o Hotjar está presente no UOL…
… e também no Baixaki. Mas, como dissemos, não há evidências de que esses sites estejam gravando seu comportamento.
Em comunicado ao Tecnoblog, o Consulta Remédios esclarece que:
A plataforma utiliza a ferramenta Hotjar na home, páginas de bula dos medicamentos e nas páginas de produtos. A empresa não utiliza o Hotjar na página de cadastro em que o usuário fornece seus dados pessoais. O Consulta Remédios segue rigorosamente as estratégias de prevenção de fraude e os requisitos da legislação quanto à segurança dos usuários.
Segundo os pesquisadores, bloqueadores de anúncios geralmente não barram os scripts do FullStory, Smartlook ou UserReplay; mas interrompem a atividade do Yandex, Hotjar, ClickTale e SessionCam. Esses serviços são mencionados no EasyList e EasyPrivacy, listas usadas em extensões de ad-blocking.
Com informações: Princeton, Ars Technica, The Next Web. Atualizado em 24/11.