- PVSM.RU - https://www.pvsm.ru -

IT-центр Принстонского университета: Яндекс.Метрика лучше всех собирает чувствительные данные о посетителях сайта

Центр по изучению информационных технологий Принстонского университета проанализировал [1], какие данные о действиях пользователя собирают и передают наиболее популярные в мире системы web-аналитики. Для этого был создан специальный скрипт, который симулировал действия пользователя через подстановку уникальной метки в HTML и отслеживал попытки отправить данную метку на сервер аналитики. Были проанализированы сервисы FullStory, Yandex.Метрика, Hotjar, User Replay, Session Cam и Smartlook.

Черные кружки — данные не передаются, половина кружка — данные передаются частично:

user_replay_automated_redaction [2]

Многие проанализированные сервисы не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, паспортными данными, адресами и другой персональной информацией. Худший результат показала Yandex.Метрика — она не передает только пароли пользователей. Пресс-служба «Яндекса» не смогла предоставить оперативный коммениарий.

«Вебвизор» в Яндекс.Метрике записывает действия посетителей сайта и позволяет просматривать их в режиме «живого видео». «Яндекс» купил [3] эту технологию в 2010 году, через год добавил [4] в нее запись происходящего на https-страницах. За 7 лет сервис исключительно редко попадал [5] в двусмысленные ситуации, когда его следы находили на чувствительных веб-страницах и всегда оказывалось, что никаких проблем ни у кого, в действительности, нет.

В 2014 году Иван Бегтин, директор НПО «Информационная Культура», в российском Роскомнадзоре уточнил [6] отношение к записи пользовательских сессий «Вебвизором». Ведомство рассмотрело вопрос и установило, что никакой угрозы персональным данным служба не несёт (Роскомнадзор — уполномоченное в РФ ведомство по охране персональных данных и надзору за их оборотом). К 2017 году мобильные приложения «Яндекса» и «Метрика» переросли онлайн, вышли за его пределы и научились следить [7] за посетителями офлайн заведений.

Источник [8]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/bezopasnost/268990

Ссылки в тексте:

[1] проанализировал: https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/

[2] Image: https://roem.ru/wp-content/uploads/2017/11/user.replay.automated.redaction.png

[3] купил: https://roem.ru/24-12-2010/117962/yandeks-kupil-webvisor-dlya-metriki/

[4] добавил: https://roem.ru/08-08-2011/140129/yuzabilitisty-cherez-vebvizor-yandeksa-poluchat-dostup-k-proishodyashchemu-na-https-stranicah/

[5] попадал: https://roem.ru/01-07-2013/115812/chto-delaet-vebvizor-na-stranice-oplaty-v-robokasse/

[6] уточнил: https://roem.ru/26-04-2014/111318/roskomnadzor-ne-bespokoyat-schetchiki-v-sekyurnoy-zone-sayta/

[7] научились следить: https://roem.ru/24-10-2017/261919/ya-schitaet-gostey/

[8] Источник: https://roem.ru/23-11-2017/263862/yandeks-metrika-sobiraet/