全球482個熱門網站 暗中記錄用家鍵盤滑鼠操作 三星微軟LOL上榜

撰文:譚曉彤
出版:更新:

你在鍵盤上敲打的每一個字、滑鼠的每一下移動軌跡、甚至是個人資料、密碼等,都有可能被記錄在案!普林斯頓大學最新研究指出,全球5萬個瀏覽量最高的熱門網站中,482個網站包括三星(Samsung)、微軟(Microsoft)、華碩(ASUS)、Adidas,甚至遊戲界的任天堂(Nintendo)及英雄聯盟(League of Legends,簡稱LOL),都在未經用家同意下,記錄用家在網站的每一個輸入和動作,有如別人站在用家身後偷看他們網上的一舉一動!研究團隊質疑這種行為的合法性,並警告用家的私隱及資料有機會被洩漏。

普林斯頓大學資訊技術政策中心(Center for Information Technology,簡稱「CITP」)研究了Alexa全球瀏覽量最高的5萬個網站,當中482個採用了「記錄行為重播」(session replay),並將資訊發送到第三方伺服器。「記錄行為重播」指,無論是用鍵盤輸入、移動滑鼠、用戶的瀏覽行為、曾停留的網頁內容等,都會一一被錄下來重播。即使是刪除了的錯字、意外按下的網頁連結,都是一覽無遺。

美國一項研究指有網站未經用戶同意,利用記錄行為重播(session replay)收集用戶資料。(視覺中國)

「記錄行為重播」能幫助公司了解用戶使用習慣,或用於各種研究和分析。CITP調查指出路透社、三星、微軟、Adobe、華碩、Adidas、網上遊戲英雄聯盟等網站,均聘請相關的服務供應商,在其網站使用「記錄行為重播」。有些公司全天候記錄所有用戶的使用情況,有些則抽樣調查。不過,網站靜俏俏地記錄用戶行為前,從未知會他們或取得其同意。

儘管「記錄行為重播」應過濾使用者的機密資訊,例如密碼、信用咭號碼、個人醫療資訊等,但CITP的測試發現,技術供應商仍能獲得上述私密資料。更甚的是,記錄了的資訊被傳送至第三方伺服器途中並未加密,僅用安全性低、未加密的HTTP協定。這意味用戶的資料有機會被洩漏,甚至被盜用身份,或增加遇到網上騙案的風險等。

研究亦發現,7間提供「記錄行為重播」的供應商,只有一間允許用戶關閉追蹤及記錄功能。若然網站使用了其餘6間供應商,即使用家使用廣告攔截軟體,也未必能夠防止瀏覽網站時的行為被記錄。

(Freedom to Tinker、BBC)