Hơn 400 trang web lớn có thể theo dõi mọi thứ được nhập vào máy tính

Các nhà nghiên cứu đến từ trung tâm Nghiên cứu các chính sách về công nghệ thông tin (CITP) tại đại học Princeton đã phát hiện ra 400 trong số những trang web phổ biến nhất bao gồm cả Telegraph và BBC Good Food ẩn chứa những đoạn mã có thể theo dõi mọi thứ được nhập vào máy tính mà bạn không hề hay biết.
Hơn 400 trang web lớn có thể theo dõi mọi thứ được nhập vào máy tính

Điều đáng lo ngại hơn là thông tin về những phím bạn gõ và dữ liệu nhạy cảm sẽ được gởi về một máy chủ phía thứ 3.

Mỗi khi lướt web thì các trang web thường sử dụng các dịch vụ tracker để theo dõi thói quen, thu thập dữ liệu người dùng để phục vụ cho mục đích quảng cáo. Tuy nhiên, vấn đề đang đi xa hơn khi hầu hết các trang web có lượng truy cập lớn trên thế giới đang ghi lại mọi thứ mà bạn gõ hay click, chẳng hạn như một đoạn từ khóa tìm kiếm hay một đoạn tin nhắn. Thậm chí khi bạn bắt đầu điền vào một biểu mẫu trên web với địa chỉ email, số điện thoại, thông tin cá nhân nhưng rồi quyết định không nhấn tiếp tục nữa, chỉ để đó thì các trang web cũng đã có được thông tin mà họ muốn.

Trang Motherboard cũng dẫn chứng rằng phát hiện của đại học Princeton tương tự với vụ Facebook theo dõi người dùng với những dòng cập nhật trạng thái bỏ dỡ, chưa được đăng lên cách đây 4 năm. Cụ thể là vào năm 2013, Facebook đã bị phát hiện ghi lại những gì đang được người dùng nhập nhưng sau đó xóa mà không đăng tải thành một post hoàn chỉnh ở chế độ công khai. Lúc đó người dùng rất hoang mang nhưng hiện tại điều đáng chú ý là tất cả những trang web phổ biến này đều vận hành một cơ chế tương tự mà bạn hoàn toàn không biết.

Công bằng mà nói thì những trang web được đại học Princeton phát hiện không chủ động sử dụng các dịch vụ keylog, họ không chủ ý thu thập thông tin nhập liệu từ người dùng mà thay vào đó là hậu quả của việc sử dụng một tính năng được gọi là Session Replay Script. Đây là những đoạn script được trang web sử dụng để theo dõi tính tương tác và hỗ trợ trong khâu thiết kế UX, thông báo cho người chủ trang web biết được thói quen của người xem từ đó cải tiến trải nghiệm truy cập trang web của mình. Thật không may là những đoạn script này có thể ghi lại hầu như mọi thứ và gởi dữ liệu đến máy chủ để phân tích.

Chuyện trở nên tồi tệ hơn khi các nhà nghiên cứu phát hiện ra rằng thông tin nhạy cảm này lại không được giữ kín. Một khi Sesson Replay Script ghi lại toàn bộ hoạt động của một người dùng trên trang web và cho phép chủ trang web truy xuất thông tin theo dõi thì họ sẽ có thể biết được thông tin cụ thể về một người dùng và xem lại những gì họ đã tương tác với trang web theo thời gian thực như click vào đâu, gõ cái gì. Dưới đây là video demo tính năng Session Replay Script của FullStory, rõ mồn một từng thao tác!

Các nhà nghiên cứu tại Princeton đã chọn ra 7 công ty chuyên cung cấp dịch vụ Session Replay phổ biến trên thị trường và thử nghiệm các sản phẩm của họ trên một loạt các trang web. Họ phát hiện ra có ít nhất là một trong số các đoạn script đang được sử dụng bởi 482/50.000 trang có lượng truy cập lớn nhất trên thế giới theo xếp hạng Alexa. Danh sách các trang này bạn có thể xem tại đây, chúng được chia thành 2 trạng thái là 'evidence of session recording' (có bằng chứng về việc ghi lại phiên duyệt web của người dùng) và 'analytics script exists (có sự xuất hiện của các đoạn script dùng để phân tích).

Trong top 10 trang đầu tiên thì Yandex.ru - được mệnh danh là 'Google của Nga' xếp hạng 1 và đây cũng là một nhà cung cấp dịch vụ Session Replay, tiếp đến là Wordpress.com dùng dịch vụ của Yandex và đáng chú ý là Coccoc.com - nhà phát hành trình duyệt Cốc Cốc cũng dùng dịch vụ của Yandex, cả 3 đều được đánh dấu 'evidence of session recording' tức có thể ghi lại dữ liệu nhập liệu của người dùng và nguy cơ dữ liệu được gởi ra ngoài. Microsoft, Adobe, GoDaddy, UOL và nhiều trang khác cũng bị phát hiện chứa mã phân tích nhưng dùng các dịch vụ Session Replay khác nhau và ít nguy cơ hơn. Điều kỳ lạ hơn là những trang web lớn như HP, Atlassian, Xfinity và Comcast cũng bị đánh dấu 'evidence of session recording'.

Rất nhiều công ty thu thập và trao đổi dữ liệu này cũng cung cấp các dịch vụ để loại bỏ thông tin nhạy cảm nhưng rất nhiều công ty khác lại không. Nếu như dữ liệu bị rò rỉ ra ngoài thì vấn đề về quyền riêng tư của người dùng sẽ bị vi phạm nghiêm trọng, chưa kể là 'Việc thu thập nội dung từ trang web thông qua mã replay từ phía thứ 3 có thể khiến thông tin nhạy cảm như tình trạng y tế, thông tin thẻ tín dụng và nhiều thông tin cá nhân khác được phơi bày. Thông tin có thể bị rò rỉ qua các phần mềm lọc, chẳng hạn như 2 nhà cung cấp dịch vụ Session Replay là UserReplay và SessionCam đều chặn hoàn toàn thông tin bằng cách theo dõi vị trí mà một người dùng nhấn vào trước khi họ bắt đầu gõ. Tuy nhiên, nếu thông tin được hiển thị mặc định trên một màn hình, người dùng không cần phải nhấp chuột mà chỉ việc gõ thôi thì thông này có thể bị bỏ sót và cứ thế trôi đến máy chủ phía thứ 3.

Các nhà nghiên cứu cũng phát hiện ra rằng những dịch vụ Session Replay thực tế đang đứng trước nguy cơ tấn công cao. Không chỉ là mục tiêu có giá trị lớn, rất nhiều dịch vụ này cung cấp trang phân tích sử dụng giao thức HTTP không mã hóa thay vì HTTPS. 'Hacker có thể thực hiện tấn công man-in-the-middle tiêm mã độc vào trang web và truy xuất toàn bộ dữ liệu được ghi lại,' đại học Princeton cho biết.

Kể từ khi bản báo cáo của đại học Princeton được công bố thì nhiều trang web đang sử dụng các dịch vụ Session Replay Scripts và các nhà cung cấp đã lên tiếng phản hồi. Nhiều trang web cho rằng họ không nhận thức được cơ chế hoạt động và nguy cơ tiềm ẩn từ các dịch vụ này đồng thời nhấn mạnh đang tìm cách cải tiến để bảo vệ dữ liệu người dùng. SessionCam cũng đã đăng tải trên trang blog của mình rằng họ nhận thức rõ vấn đề và trấn an rằng công ty đang bảo vệ an toàn dữ liệu người dùng.

Về mặt giải pháp, đại học Princeton cho rằng người dùng nên cài đặt các phần mềm chặn quảng cáo như AdBlock Plus để chặn Session Replay Scripts. Ngoài ra chúng ta có thể dùng thêm các phần mềm chặn tracker như Ghostery để đảm bảo giữ kín thông tin cá nhân khi tương tác với mọi trang web.

Theo: Alphr

TIN LIÊN QUAN

Điện thoại Android có Chrome hoạt động gửi thông tin định vị 340 lần chỉ trong vòng 24 giờ

Sau khi có nhiều báo cáo về việc Google tiếp tục theo dõi vị trí của người dùng kể cả khi các dịch vụ định vị được tắt đi, iPhone lại có thêm một nghiên cứu mới tuyên bố rằng Google còn sử dụng những phương thức thu thập dữ liệu mà người dùng

Singapore phát triển mô hình máy tính dự đoán để giảm thiểu ca nhiễm, tử vong do COVID-19

Một nhóm các nhà khoa học từ Đại học Công nghệ Nanyang Singapore NTU đã phát triển một mô hình máy tính dự đoán. Kết quả thử nghiệm trên dữ liệu dịch COVID-19 thực tế tại 4 quốc gia cho thấy mô hình này đã góp phần làm giảm tỷ lệ ca nhiễm và tử

Tăng cường ứng dụng AI cho hệ thống an ninh mạng hiệu quả

Sự phát triển ngày càng mạnh mẽ của trí tuệ nhân tạo AI đang gây ra lo ngại về bảo mật dữ liệu trong thời điểm các mối đe dọa về an ninh mạng ANM ngày càng gia tăng. Tuy nhiên, mặt khác nếu AI được triển khai tốt có thể có tiềm năng lớn trong việc

Phát hiện lỗ hổng làm lộ số điện thoại từ tài khoản Facebook

Facebook nói với việc người dùng cung cấp số điện thoại sẽ giúp bảo vệ tài khoản cá nhân tốt hơn. Nhưng cách đây vài tuần, một công cụ có thể tách lấy số điện thoại từ email người dùng đăng ký Facebook xuất hiện.

Trình duyệt Edge mới đã có thêm nhiều extension hay

Cũng với bản cập nhật Fall Creators thì trình duyệt Edge mới cũng đã có thêm nhiều extension hơn, đếm được có 71 extension các loại và phần lớn đều rất có ích. Mình đã tự tin hơn khi sử dụng Edge và dưới đây là những extension mình hay dùng, anh em

Hàng trăm nghìn tài khoản email người dùng Việt Nam bị lộ

Qua theo dõi các sự cố trên không gian mạng, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) ghi nhận được một số lượng lớn tài khoản mạng xã hội đã bị lộ username (là địa chỉ thư điện tử làm tên đăng nhập) và mật khẩu của tài khoản mạng xã

Những hiểu lầm về trí tuệ nhân tạo (AI)

Theo Mashable, hiện có rất nhiều người lo ngại về tương lai của AI và nguy cơ AI sẽ phản bội lại con người.

Bill Gates: Anh sẽ duy trì vị trí hàng đầu về khoa học và công nghệ

Người giàu nhất thế giới hiện nay, tỷ phú Mỹ Bill Gates tin tưởng nước Anh sẽ duy trì vai trò là một trung tâm hàng đầu thế giới về khoa học và công nghệ ngay cả sau khi nước này rời khỏi Liên minh châu Âu (EU), còn gọi là Brexit.

THỦ THUẬT HAY

Cách thêm chú thích cho ảnh trên iOS 14 dễ dàng, bạn đã thử chưa?

Nếu iPhone của bạn chưa có tính năng chú thích ảnh thì hãy cập nhật lên hệ điều hành iOS 14 ngay nhé. Bởi sau đây chúng tôi sẽ là hướng dẫn cách thêm chú thích cho ảnh trên iOS 14 mời các bạn cùng thao tác. Hướng dẫn

Hướng dẫn các bước tra cứu điểm thi Vnedu chuẩn bị cho mùa thi 2023

Hiện tại, các bạn học sinh đã chính thức bước vào tháng 5, tháng của những ngày chạy đua với điểm số, với những kỳ thi khắc nghiệt. Chính vì vậy, biết cách tra cứu điểm của học sinh sẽ giúp các bậc phụ huynh nắm được

Điểm mặt 15 trình duyệt web an toàn nhất dành cho Android

Hầu hết người dùng nghĩ rằng họ rất an toàn khi lướt web trên thiết bị di động. Nhưng đó là một sự hiểu nhầm tai hại khi ngày nay có rất nhiều tổ chức gián điệp theo dõi người dùng. Vì vậy đã đến lúc cần thiết để lướt

10 quy tắc chụp ảnh để bức ảnh của bạn đẹp hơn, có sức sống hơn

Bạn không cần phải nhớ hết toàn bộ 10 quy tắc này, hãy dành thời gian ra để thực hành với từng quy tắc. Dần dần bạn sẽ nghiệm ra được lúc nào thì nên sử dụng quy tắc nào để chụp. Có thể lúc đầu chúng ta chụp chưa đẹp,

Cách xem mật khẩu đã lưu khi lướt web trên iPhone, iPad

Khi lướt web hàng ngày trên iPhone, iPad bằng cách sử dụng Safari, các mật khẩu mà bạn sử dụng để đăng nhập trên một trang nào đó đều sẽ được lưu lại. Do đó, nếu lỡ quên mật khẩu, bạn có thể xem và lấy lại một cách dễ

ĐÁNH GIÁ NHANH

Đánh giá Infinix Hot 3 LTE: Cấu hình ổn, pin tốt, giá bình dân

Infinix Hot 3 LTE được đang bị bô vi xử lý 8 nhân Qualcomm, RAM 2GB và pin 3.000 mAh

Mở hộp Realme C15: Phân khúc giá rẻ với pin 6000mAh, sạc nhanh 18W, 4 camera góc siêu rộng

Với những gì Realme mang lại, Realme C15 chắc chắn là một trong những chiếc máy giá rẻ được quan tâm nhất thời điểm cuối năm. Hãy cùng mở hộp và trải nghiệm sản phẩm này qua bài viết dưới đây nhé.

Lenovo Yoga Slim 7i Carbon: đẹp mỹ mãn trong từng đường nét

Lenovo Yoga Slim 7i Carbon vừa được giới thiệu vào ngày 12/10 dành cho đối tượng khách hàng cao cấp. Chiếc laptop siêu mỏng nhẹ này có bề ngoài đẹp không tì vết cùng sức mạnh đáng gờm bên trong.