Honderden websites slaan alle toetsaanslagen gebruikers op

Security
Honderden websites slaan alle toetsaanslagen gebruikers op

Dat het surfgedrag van mensen nauwgezet gevolgd wordt, wisten we natuurlijk al. Maar nu blijkt dat het volgen veel verder gaat dan je zou denken. Uit een studie blijkt dat honderden websites wel heel ver gaan met het volgen van surfgedrag.

Uit een studie van de Princeton University blijkt dat veel websites het scrolgedrag, de kliks, muisbewegingen en alle toetsaanslagen in de gaten houden. Dat meldt The Next Web vandaag. Onder die sites vallen onder meer The Guardian, Reuters, Samsung, Al Jazeera en WordPress.com.

Over je schouder meekijken

Volgens Princeton wordt er gebruik gemaakt van “session replays”. Daarbij worden toetsaanslagen en bewegingen die gebruikers maken nauwgezet gevolgd. De onderzoekers vergelijken het met iemand die “over je schouder meekijkt”, maar dan virtueel. De voornaamste aanbieders van deze diensten zijn SessionCam, UserRaplay, FullStory, Clicktale, Yandes, Smartlook en Hotjar.

Dit is potentieel een gevaarlijke ontwikkeling, niet alleen omdat het een forse inbreuk op de privacy is, maar ook omdat potentieel gevoelige gegevens makkelijk opgeslagen kunnen worden. De onderzoekers van Princeton melden dat veel van de diensten bepaalde informatie, waaronder wachtwoorden, uit de volgresultaten filteren. Maar veel van de mobielvriendelijke formulieren worden echter niet weggelaten. Daardoor wordt gevoelige informatie, waaronder wachtwoorden en creditcardgegevens, toch opgeslagen.

Resultaten wegfilteren

In de analyse schrijft Princeton: “Alle bedrijven beperken de resultaten op bepaalde manieren, maar doen dat automatisch. Hoe dat in zijn werk gaat, verschilt enorm per aanbieder. UserReplay en SessionCam vervangen alle input met tekst die even lang is als de input, waar FullStory, Hotjar en Smartlook specifieke inputvelden helemaal wegfilteren per type.”

Paul Edon, directeur van beveiligingsfirma Tripwire vertelde nog het volgende tegenover BBC News: “De eerste zorg in dit geval is of het opslaan van toetsaanslagen van gebruikers zonder hen daar eerst over te informeren wel legaal is. Als deze sites de gebruiker hiervan niet op de hoogte stellen, kan dat in de categorie ‘schandelijke praktijken’ vallen, omdat men niet helemaal eerlijk is en de informatie verzameld wordt zonder dat de gebruiker er vanaf weet.”