Các nhà nghiên cứu của Trung tâm chính sách công nghệ thông tin thuộc trường Đại học Princeton đã phân tích 50 ngàn website hàng đầu theo thống kê của Alexa và tìm thấy 482 trang, phần lớn là những trang có uy tín, đang sử dụng kỹ thuật mới cho phép theo dõi mọi hoạt động của người dùng.
Được đặt tên là "Session Replay", kỹ thuật này được đang được những trang web phổ biến nhất – trong đó có The Guardian, Reuters, Samsung, Al-Jazeera, VK, Adobe, Microsoft và WordPress,… sử dụng để ghi lại tất cả những hành động nhỏ nhất của khách ghé thăm, rồi gửi tới bên thứ ba để phân tích.
Các script "Session replay" thường được thiết kế để thu thập dữ liệu về hoạt động của người dùng, giúp những lập trình viên có thể nâng cao trải nghiệm người dùng. Tuy nhiên, điều đáng lo ngại là những công cụ đó ghi nhận mọi thông tin mà người dùng nhập vào trang web, kể cả những đoạn văn bản được gõ vào nhưng lại bị xoá đi trước khi nhấn nút “Submit”.
Dữ liệu được thu thập bởi các script của bên thứ ba có thể để lộ những thông tin nhạy cảm như tình trạng sức khoẻ, thông tin thẻ tín dụng,… Điều này có thể dẫn đến nạn đánh cắp định danh cá nhân, gửi thư điện tử lừa đảo và nhiều tệ nạn khác. Điều tệ hại nhất là thông tin thu thập không thể được ẩn danh. Một số công ty cung cấp phần mềm “Session replay” cho phép chủ các website liên kết trực tiếp những thông tin lưu lại với định danh thực của người dùng.
Các nhà nghiên cứu đã xem xét một số công ty cung cấp dịch vụ Session Replay hàng đầu - trong đó có FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar và Yandex – và nhận thấy phần lớn các dịch vụ này đều loại các trường mật khẩu khỏi danh sách theo dõi. Tuy nhiên, phần lớn các cửa sổ đăng nhập thân thiện với thiết bị di động không che giấu mật khẩu mà người dùng nhập vào nên không được loại trừ trong quá trình “replay”. Những thông tin nhạy cảm như mật khẩu, số thẻ tín dụng và mã bảo mật của thẻ tín dụng rất có thể bị ghi lại và chuyển cho bên thứ ba để phân tích.
Các nhà nghiên cứu tìm thấy ít nhất một website mà mật khẩu nhập trong mẫu đăng ký bị lộ cho SessionCam, dù người dùng chưa bấm nút gửi đi. Việc có nhiều công ty sử dụng các script “session replay” dù là với mục đích tốt đẹp cũng khiến dữ liệu bị thu thập trong khi người dùng không hề hay biết là dấu hiệu chứng tỏ họ không quan tâm đúng mức tới quyền riêng tư của người dùng. Một lần nữa, các quy định pháp luật và hiểu biết của người dùng cần được cập nhật để đối phó với những nguy cơ mất an toàn mà các công nghệ tiên tiến đem tới.
theo The Hacker News
22:57 | 30/05/2017
05:51 | 09/09/2014
06:12 | 08/10/2014
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
13:00 | 29/06/2023
Ba ứng dụng Android trên cửa hàng ứng dụng Google Play đã được các tin tặc sử dụng để thu thập thông tin tình báo từ các thiết bị được nhắm mục tiêu, bao gồm dữ liệu vị trí và danh sách liên hệ của nạn nhân.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
13:00 | 11/11/2024
