In un’era in cui la tecnologia domina ad ampio spettro il nostro vivere quotidiano, parlare di sicurezza e privacy risulta quanto meno doveroso e di certo interessante per capire le dinamiche che si celano dietro l’utilizzo di un dispositivo elettronico, sia esso uno smartphone, un tablet, un PC o anche un moderno TV Smart.
Secondo i ricercatori del Center for Information Technology Policy di Princeton (CITP) tutti gli utenti sono sotto stretta osservazione da parte di oltre 400 dei 50.000 siti Web più importanti al mondo, per i quali si è rivelato l’utilizzo di uno script di tracciamento che prende in esame le sessioni online degli interessati.
Benché la cosa non possa apparire poi così sconcertante in considerazione del nuovo trend del periodo, c’è da considerare il fatto che i ricercatori sostengono che questi siti spesso non si limitano a raccogliere indiscriminatamente le informazioni personali degli utenti, ma cedono potenzialmente ed involontariamente questi dati in mano a terze parti che, in luogo di un attacco mirato, si possono portare alla sottrazione di estremi per account e password che mettono a serio repentaglio la nostra sicurezza. 
Nel dettaglio delle loro scoperte portate avanti a partire dalla scorsa settimana, i ricercatori CITP Steve Englehart, Gunes Acar e Arvind Narayan hanno detto di aver preso in esame sette delle migliori società di replay online che utilizzano script di ripetizione di sessione e framework ai siti web.
Nel particolare, si sono considerati Clicktale, FullStory, Hotjar, SessionCam, Smartlook, UserReplay e Yandex. Lo studio ha portato avanti un report in cui si è indicata non soltanto la tipologia dei dati raccolti ma anche come è avvenuta la raccolta stessa. La creazione di pagine di testing ad hoc, in questo caso, ha consentito la valutazione di sei di queste società per le quali è emerso un utilizzo indiscriminato dei sistemi a danno degli ignari utenti, ora esposi ad un serio e concreto pericolo per la privacy.
I ricercatori di sicurezza sostengono che almeno 482 dei 50.000 siti Web più importanti al mondo utilizzano script di riproduzione delle sessioni e che questo numero potrebbe rappresentare soltanto un’indicazione sommaria della portata del fenomeno. I ricercatori hanno compilato un elenco completo dei siti Web che utilizzano script simili ed hanno posto particolare enfasi su un problema che rischia seriamente di comprometterci su ogni fronte, in luogo del fatto che alcune di queste informazioni possono essere collegate a dati personali identificabili. Al riguardo, i ricercatori hanno spiegato che:
“La raccolta dei contenuti dalle pagine da parte degli script di replay di terze parti può far sì che informazioni sensibili quali condizioni mediche, dettagli della carta di credito e altre informazioni personali visualizzate su una pagina vengano divulgate a terzi come parte della registrazione. Furto di identità, truffe online e altri comportamenti indesiderati sono altresì potenzialmente possibili. Lo stesso vale per la raccolta di input dell’utente durante i processi di checkout e registrazione”
Alcuni provider di script di riproduzione di sessione, come SessionCam e UserReplay, non raccolgono le info dell’utente, ma si limitano a tracciare i click ed a fornire un sistema di compilazione automatico dei dati nei campi di testo. Tuttavia, anche in questo caso, permangono alcuni problemi di fondo che possono verosimilmente portare, anche in questo caso, alla sottrazione dei dati utente nonostante il meccanismo automatico di inserimento.
Il contenuto a schermo, di fatto, viene sempre raccolto e ciò costituisce un problema di non poco conto. A tal proposito si considera il caso di Walgreens e della sottrazione dei dati che contenevano nomi utente, condizioni mediche e prescrizioni.
Infine, mentre i siti Web che ospitano gli script di riproduzione delle sessioni possono essere protetti dal protocollo HTTPS crittografato, i dashboard di riproduzione delle sessioni possono utilizzare lo standard HTTP, notoriamente vulnerabile ad ogni genere di attacco informatico e di sicurezza.
In tal caso, si portano in evidenza gli script di Hotjar, Smartlook e Yandex che, secondo quanto osservato dai ricercatori CITP, consentirebbero agli aggressori di utilizzare attacchi man-in-the-middle per ottenere l’accesso ai dati dell’utente mentre vengono trasmessi a server di terze parti. Yandex in una sua dichiarazione in risposta allo studio ha dichiarato apertamente che:
“HTTP viene utilizzato intenzionalmente, poiché le registrazioni di sessione caricano siti Web utilizzando iframe. Sfortunatamente, il caricamento del contenuto HTTP dai siti Web HTTPS è vietato a livello di browser, quindi è richiesto allo script di accedere tramite supporto HTTP ai siti Web per questa funzionalità”
Tra i siti che utilizzano script di riproduzione delle sessioni, i nomi principali includono Bonobo e Fidelity, oltre al già sopracitato Walgreens. Dopo la pubblicazione dello studio CITP la scorsa settimana, Bonobos ha riferito di aver bloccato la condivisione dei dati con FullStory e che stava rivedendo i suoi protocolli per proteggere meglio i dati degli utenti.
Un portavoce di Fidelity ha dichiarato che a protezione dei dati dei clienti era la sua massima priorità, ma non ha chiarito se avrebbe smesso di usare tali script. Walgreens ha preso la stessa strada di Bonobo ed ha riferito che ha dismesso al condivisione dei dati con FullStory in attesa di un’analisi interna volta ad accertare potenziali vulnerabilità di protocollo.
