据英国媒体11月22日报道,普林斯顿大学的研究者在一篇最新研究报告中称,全球有数百家热门网站会记录用户的一切操作,包括每次按键、鼠标移动和滚动滑轮,仿佛“有一双眼睛在背后默默地监视着人们”,获取数据。
这些网站将收集到的信息发给第三方“会话回放”脚本(session replay)公司,这样的举动可能导致网民遭遇身份盗窃和网络诈骗。
该研究团队发现,全球最热门的5万个网站中有482个(根据Alexa的排名)都使用了“会话回放”脚本,而这种行为势必导致严重的个人信息泄露,包括地址、医疗状况、信用卡细节等敏感信息,甚至还可能泄露姓名。
其中一位研究者史蒂夫?英格尔哈特(Steve Englehardt)指出:“这种数据收集名义是了解用户与网站的互动情况、及时发现崩溃或信息错乱的页面。然而实际上,这些服务器收集的具体内容远远超过了用户的想象,并且这些数据并没有像用户所期待那样保持匿名。”
该研究团队对7家最热门的会话回放脚本公司进行了分析,发现有些网站直接给他们发送用户的隐私信息,并没有按照要求用编辑工具在记录中排除敏感信息。因为这个过程有难度,且耗时久。
对此,英格尔哈特说:“如果要有效地部署这些缓解措施,网站需要对每一条输入信息进行审核,以判断其是否含有个人数据。这项工作很复杂、容易出错、成本也高,尤其当网站或者网络应用程序代码时刻处于千变万化之中。”
在这种情况下,网站最后收集到的数据里就包括了大量不应有的记录,比如用户的姓名、完整的信用卡号和有效日期、信用卡验证码和账单地址、密码长度,甚至可以知道用户医生的姓名和正在接受的药物治疗。
英格尔哈特说:“对于这些网站来说,提升用户体验是重中之重,但是这不能以侵犯客户的隐私为代价。”
