Imagem por Darwin Laganzon/Pixabay

Centenas de sites acompanham sua navegação com mais detalhes do que você imagina

Existem diversas ferramentas para monitorar seu comportamento na web, geralmente com o objetivo de exibir anúncios direcionados para você. No entanto, centenas de sites — incluindo Lenovo, Intel e Opera — vão um passo além.

Um estudo descobriu que 482 dos 50 mil sites mais populares do mundo usam scripts que gravam cada clique, cada pressionamento de tecla e cada rolagem de página para reproduzi-los depois.

O estudo foi realizado pelo Center for Information Technology Policy, da Universidade de Princeton, e se concentrou em sete empresas que fornecem os chamados “scripts de replay de sessão”: SessionCam, UserReplay, FullStory, Clicktale, Yandex, Smartlook e Hotjar.

O coautor Steven Englehardt instalou esses scripts e descobriu que quatro deles — FullStory, Hotjar, Yandex e Smartlook — gravam tudo o que é digitado em campos de texto. Isso inclui endereços físicos e de e-mail, números de telefone e documentos de identidade.

Eis como isso funciona no FullStory:

Enquanto isso, o Smartlook coleta o número de caracteres digitados em campos de senha; e o UserReplay registra os últimos quatro dígitos de cartões de crédito.

A situação piora quando o site implementa mal esse recurso. A loja de roupas Bonobos estava enviando números completos de cartão de crédito para o FullStory; ela diz ter corrigido isso.

A ideia era entender melhor como os visitantes interagem com o site, e identificar páginas que sejam confusas ou que estejam quebradas. Mas, como escreve Englehardt, “a coleta de conteúdo por scripts de terceiros pode causar o vazamento de informações confidenciais, como problemas médicos, detalhes do cartão de crédito e outras informações pessoais”.

Os scripts de replay de sessão estão presentes em milhares de sites. Mas em 482 sites, o estudo encontrou evidências concretas de que esse recurso estava ativo. Basicamente, eles usaram uma ferramenta para injetar uma cadeia de caracteres e ver se ela era enviada. (Eles refizeram o teste injetando 200 KB de dados para checar se eram transmitidos.)

Entre os sites com “evidências de gravação de sessão”, temos a HP, Autodesk, Windows, Red Hat, Logitech, entre outros — a lista completa está aqui

Entre os domínios .br, não há sites com evidências de gravação de sessão. “Os desenvolvedores podem escolher não habilitar essa funcionalidade”, explica o estudo. No entanto, temos diversos sites que usam os scripts; são eles:

  • UOL (Hotjar)
  • Americanas (Hotjar)
  • Baixaki (Hotjar)
  • Submarino (Hotjar)
  • Reclame Aqui (Hotjar)
  • Jusbrasil (Hotjar)
  • ClicRBS (Hotjar)
  • Vivo (Hotjar)
  • Shoptime (Hotjar)
  • PagSeguro (Hotjar)
  • Magazine Luiza (Hotjar)
  • Oi (Hotjar)
  • Click Jogos (Hotjar)
  • Dicio – Dicionário Online de Português (Hotjar)
  • Climatempo (Hotjar)
  • Zoom (Clicktale)
  • Webmotors (Hotjar)
  • TIM (Inspectlet)
  • Softonic (Hotjar)
  • Peixe Urbano (Hotjar)
  • Consulta Remédios (Hotjar)
  • Lance! (Hotjar)
  • ShopFácil (Hotjar)

De fato, o Hotjar está presente no UOL… … e também no Baixaki. Mas, como dissemos, não há evidências de que esses sites estejam gravando seu comportamento.

Segundo os pesquisadores, bloqueadores de anúncios geralmente não barram os scripts do FullStory, Smartlook ou UserReplay; mas interrompem a atividade do Yandex, Hotjar, ClickTale e SessionCam. Esses serviços são mencionados no EasyList e EasyPrivacy, listas usadas em extensões de ad-blocking.

Com informações: PrincetonArs TechnicaThe Next Web.

Deixe um comentário sobre a notícia!