ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Princeton University ออกมาแจ้งเตือนผู้ใช้ถึงการละเมิดความเป็นส่วนบุคคลแบบเนียนๆ ชี้พบ 482 เว็บไซต์จาก 50,000 เว็บไซต์ยอดนิยมที่จัดอันดับโดย Alexa มีการบันทึกความเคลื่อนไหวของผู้ใช้ตลอดเวลา ไม่ว่าจะเป็นข้อมูลการพิมพ์หรือการเลื่อนเมาส์ เพื่อนำไปวิเคราะห์พฤติกรรมเชิงลึก
ในธุรกิจการทำ Analytics นั้น การเก็บข้อมูลความเคลื่อนไหวของผู้ใช้แบบนี้ถูกเรียกว่า Session Replay ซึ่งผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายฝ่ายออกมาแสดงความกังวัลว่า แฮ็กเกอร์อาจสามารถดักฟังข้อมูลที่ส่งกลับไปยังไซต์ต้นทาง หรือขโมยข้อมูลออกมาจากระบบ Analytics ที่ไม่มั่นคงปลอดภัย เพื่อดึงข้อมูลความลับของผู้ใช้ออกมาได้ เรียกการโจมตีเหล่านี้ว่า Session-replay Attack
ทีมนักวิจัยระบุว่า ปัจจุบันมีผู้ให้บริการการบันทึกข้อมูลเซสชันของผู้ใช้มากมาย โดยสามารถเก็บข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต หมายเลขโทรศัพท์ เลขบัตรประชาชน วันเกิด และข้อมูลอื่นๆ ได้ ซึ่งบางผู้ให้บริการเก็บข้อมูลเหล่านี้บนแบบฟอร์มก่อนที่จะกดปุ่ม Submit เสียอีก หรือถ้าเลวร้ายสุดๆ ก็คือเก็บบันทึกความเคลื่อนไหวทุกครั้งหลังมีการเลื่อนเมาส์หรือกดแป้มพิมพ์ ยกตัวอย่างบริการ Analytics ที่พร้อมใช้ในรูปแบบสคริปต์ ได้แก่ FullStory, Hotjar, Yandex และ Smartlook
ความเสี่ยงที่เกิดขึ้นกับการเก็บข้อมูลผู้ใช้ที่มากจนเกินไปนี้คือ ถ้าแฮ็กเกอร์สามารถเข้าถึงบัญชีที่ใช้เก็บข้อมูลเหล่านี้ของเว็บไซต์ได้ ก็จะทำให้ได้ข้อมูลส่วนบุคคล รวมไปถึงรหัสผ่านและหมายเลขบัตรเครดิตของผู้ใช้ทันที นอกจากนี้บริการ Analytics หลายรายการยังส่งข้อมูลในรูป HTTP ซึ่งไม่มีการเข้ารหัส ส่งผลให้แฮ็กเกอร์สามารถดักฟังและขโมยข้อมูลไปได้ง่าย
ตัวอย่างเว็บไซต์ที่ใช้สคริปต์ในการบันทึกข้อมูลเซสชันของผู้ใช้ ได้แก่ Yandex, Microsoft, Adobe, GoDaddy, Spotify, WordPress, Reuters, Comcast, TMZ และอื่นๆ ผู้ที่สนใจสามารถดูรายชื่อทั้ง 482 เว็บไซต์ได้ที่ https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html
ที่มา : techtalkthai
ลิงค์ : https://www.techtalkthai.com/popular-websites-are-recording-users-every-move/
