- Katılım
- 1 Haz 2014
- Mesajlar
- 284
- Tepkime puanı
- 262
- Puanları
- 63
How sites steal your personal data from you.
In this article I want to talk about the fact that most sites collect all the information about you during your stay on the pages.
Each keystroke, entered data, etc., all this is recorded and can be played.
Approximately 500 sites from the top Alexa use so-called scripts (session replay scripts). A complete list can be seen on this the link . Such tools were developed to better understand user behavior on the site. But their functionality allows you to play the session on the site and analyze every click, transitions, etc.
Such methods are used absolutely secretly and you may not even notice how all your data falls into the right hands. Such data may be sold or used for a targeted attack. For example, such scripts can easily pull out a bank card number, month and year of expiration of the card, as well as other information that was used on the page. This is especially interesting on sites with registration forms, etc.
Example replay script
Among the most intrusive and anti-user replay scripts, solutions from FullStory, Hotjar, Yandex and Smartlook are distinguished. These companies "wind up" all the information, including name, mail, phone number, social security number, and passwords. The last 4 digits of bank cards are also recorded. Additionally, you can see on the video how the applications from FullStory work. You can monitor users even in real time.
FullStory Work
In addition, with the help of such solutions, owners can configure them in more detail, so you can add additional filters to obtain information. It should be noted that Yandex, Hotjar and Smartlook use unprotected HTTP to transfer data.
Such surveillance can be seen on sites, microsoft.com, adobe.com or godaddy.com, but also on sites from which this is not to be expected. For example, walgreens.com was convicted of collecting visitors' medical information and even “recording” prescription data (and then transferring this data to FullStory). Another example, the website of Bonobos, which "leaked" the full numbers of visitors' bank cards, also in favor of FullStory.
How can I protect myself from tracking?
To do this, use the Ghostery utility. It is installed as a utility in the Chrome or FireFox browser.
Ghostery
Ghostery monitors the “invisible” side of the Internet, where spies, network bugs, pixels and beacons work on advertising sites, behavioral information providers, website owners and various companies that monitor your activity on the Internet. Ghostery recognizes web bugs from more than 500 similar companies, including Facebook and Google.
The program has very flexible settings and you can open the panel and see which trackers can be separately blocked.
Ghostery highlights the main areas:
Advertising. Site analytics. Interaction with customers. Social networks. The important thing. Audio / video player. Ad for adults. Comments
To begin, I recommend blocking all items, and then adapt and add some sites to white lists or disable certain groups of trackers that are necessary for working on some sites.
After setting up, go to adobe.com. And you can immediately see how the program blocked access to some trackers. This can be seen in the screenshot.
Ghostery
It should be noted that you can select the trust mode and then the program will not block and restrict access. You can also stop the program. In addition, everything is absolutely accurately displayed and shown from which category a particular "bug" was blocked.
Conclusion
With the help of this software you can go over any of your sites and find out how much everything is collected about you. Therefore, this software is a fairly simple and good solution that can protect against tracking and receiving data through different platforms and javascript backdors.
Source @Kevin Mitnick
In this article I want to talk about the fact that most sites collect all the information about you during your stay on the pages.
Each keystroke, entered data, etc., all this is recorded and can be played.
Approximately 500 sites from the top Alexa use so-called scripts (session replay scripts). A complete list can be seen on this the link . Such tools were developed to better understand user behavior on the site. But their functionality allows you to play the session on the site and analyze every click, transitions, etc.
Such methods are used absolutely secretly and you may not even notice how all your data falls into the right hands. Such data may be sold or used for a targeted attack. For example, such scripts can easily pull out a bank card number, month and year of expiration of the card, as well as other information that was used on the page. This is especially interesting on sites with registration forms, etc.
Example replay script
Among the most intrusive and anti-user replay scripts, solutions from FullStory, Hotjar, Yandex and Smartlook are distinguished. These companies "wind up" all the information, including name, mail, phone number, social security number, and passwords. The last 4 digits of bank cards are also recorded. Additionally, you can see on the video how the applications from FullStory work. You can monitor users even in real time.
FullStory Work
In addition, with the help of such solutions, owners can configure them in more detail, so you can add additional filters to obtain information. It should be noted that Yandex, Hotjar and Smartlook use unprotected HTTP to transfer data.
Such surveillance can be seen on sites, microsoft.com, adobe.com or godaddy.com, but also on sites from which this is not to be expected. For example, walgreens.com was convicted of collecting visitors' medical information and even “recording” prescription data (and then transferring this data to FullStory). Another example, the website of Bonobos, which "leaked" the full numbers of visitors' bank cards, also in favor of FullStory.
How can I protect myself from tracking?
To do this, use the Ghostery utility. It is installed as a utility in the Chrome or FireFox browser.
Ghostery
Ghostery monitors the “invisible” side of the Internet, where spies, network bugs, pixels and beacons work on advertising sites, behavioral information providers, website owners and various companies that monitor your activity on the Internet. Ghostery recognizes web bugs from more than 500 similar companies, including Facebook and Google.
The program has very flexible settings and you can open the panel and see which trackers can be separately blocked.
Ghostery highlights the main areas:
Advertising. Site analytics. Interaction with customers. Social networks. The important thing. Audio / video player. Ad for adults. Comments
To begin, I recommend blocking all items, and then adapt and add some sites to white lists or disable certain groups of trackers that are necessary for working on some sites.
After setting up, go to adobe.com. And you can immediately see how the program blocked access to some trackers. This can be seen in the screenshot.
Ghostery
It should be noted that you can select the trust mode and then the program will not block and restrict access. You can also stop the program. In addition, everything is absolutely accurately displayed and shown from which category a particular "bug" was blocked.
Conclusion
With the help of this software you can go over any of your sites and find out how much everything is collected about you. Therefore, this software is a fairly simple and good solution that can protect against tracking and receiving data through different platforms and javascript backdors.
Source @Kevin Mitnick
Original message
Как сайты воруют у вас личные данные.
В этой статье я хочу поговорить о том, что большинство сайтов собирают всю информацию о вас во время пребывания на страницах.
Каждое нажатие клавиатуры, введенные данные и т.д., все это записывается и может быть воспроизведено.
Примерно 500 сайтов из топа Alexa используют так называемые скрипты (session replay scripts). Полный список можно увидеть по этой ссылке. Разрабатывались такие инструменты для лучшего понимания поведения пользователей на страницах сайта. Но их функционал вполне позволяет воспроизвести сессию на сайте и проанализировать каждый клик, переходы и т.д.
Такие методы применяются абсолютно скрытно и вы можете даже не заметить, как все ваши данные попадут в нужные руки. Такие данные могут быть проданы или использованы для целевой атаки. Например, такие скрипты могут легко вытащить номер банковской карты, месяц и год окончания действия карты, а также другую информацию, которая использовалась на странице. Особенно это интересно на сайтах с регистрационных формах и т.д.
Пример работы replay-скрипта
Среди самых навязчивых и антипользовательских replay-скриптов выделяют решения от компаний FullStory, Hotjar, "Яндекс" и Smartlook. Эти компании "мотают на ус" всю информацию, включая ФИО, почту, телефонный номер, номер социального страхования, а также пароли. Также ведется запись последних 4-х цифр банковских карт. Дополнительно можно увидеть на видео, как работает приложения от FullStory. Можно следить за пользователями даже в режиме реального времени.
Работа FullStory
Помимо этого с помощью таких решений владельцы могут их настроить более детально, таким образом можно добавить дополнительные фильтры для получения информации. Следует отметить, что компании "Яндекс", Hotjar и Smartlook используют незащищенный HTTP для передачи данных.
Такую слежку можно заметить на сайтах, microsoft.com, adobe.com или godaddy.com, но и на сайтах, от которых ожидать подобного не приходится. К примеру, walgreens.com уличили в сборе медицинской информации посетителей и даже «записи» данных о рецептах (и последующей передаче этих данных FullStory). Еще один пример, сайт компании Bonobos, которая «сливала» полные номера банковских карт посетителей, тоже в пользу FullStory.
Как можно защититься от отслеживания?
Для этого воспользуемся утилитой Ghostery. Она устанавливается в качестве утилиты в браузер Chrome или FireFox.
Ghostery
Ghostery отслеживает «невидимую» сторону интернета, где работают шпионы, сетевые жучки, пиксели и маяки, размещенные на сайтах рекламными сетями, поставщиками поведенческой информации, владельцами сайтов и различными компаниями, которые следят за вашей активностью в интернете. Ghostery распознает веб-жучки более чем 500 подобных компаний, в числе которых Facebook и Google.
Программа обладает очень гибкими настройками и можно открыть панель и посмотреть какие трекеры можно отдельно заблокировать.
В Ghostery выделены основные направления:
Реклама. Аналитика сайта. Взаимодействие с клиентами. Социальные сети. Важное. Аудио/видео проигрыватель. Реклама для взрослых. Комментарии.
Для начала я рекомендую заблокировать все пункты, а дальше адаптироваться и вносить некоторые сайты в белые списки или отключать отдельные группы трекеров, которые необходимы для работы на некоторых сайтах.
Перейдем после настройки на сайт adobe.com. И можно сразу увидеть, как программа заблокировала доступ к некоторым трекерам. Это можно увидеть на скриншоте.
Ghostery
Следует отметить, что можно выбрать режим доверия и тогда программа не будет блокировать и ограничивать доступ. Также можно остановить работу программу. Помимо этого все абсолютно точно отображается и показывается с какой категории было заблокирован конкретный "жучек".
Заключение
С помощью данного софта можно пробежаться по любым вашим сайтам и узнаете, сколько всего о вас собирают. Поэтому данный софт является довольно простым и хорошим решением, которое может обезопасить от отслеживания и получения данных через разные платформы и javascript backdors.
Источник @Kevin Mitnick
В этой статье я хочу поговорить о том, что большинство сайтов собирают всю информацию о вас во время пребывания на страницах.
Каждое нажатие клавиатуры, введенные данные и т.д., все это записывается и может быть воспроизведено.
Примерно 500 сайтов из топа Alexa используют так называемые скрипты (session replay scripts). Полный список можно увидеть по этой ссылке. Разрабатывались такие инструменты для лучшего понимания поведения пользователей на страницах сайта. Но их функционал вполне позволяет воспроизвести сессию на сайте и проанализировать каждый клик, переходы и т.д.
Такие методы применяются абсолютно скрытно и вы можете даже не заметить, как все ваши данные попадут в нужные руки. Такие данные могут быть проданы или использованы для целевой атаки. Например, такие скрипты могут легко вытащить номер банковской карты, месяц и год окончания действия карты, а также другую информацию, которая использовалась на странице. Особенно это интересно на сайтах с регистрационных формах и т.д.
Пример работы replay-скрипта
Среди самых навязчивых и антипользовательских replay-скриптов выделяют решения от компаний FullStory, Hotjar, "Яндекс" и Smartlook. Эти компании "мотают на ус" всю информацию, включая ФИО, почту, телефонный номер, номер социального страхования, а также пароли. Также ведется запись последних 4-х цифр банковских карт. Дополнительно можно увидеть на видео, как работает приложения от FullStory. Можно следить за пользователями даже в режиме реального времени.
Работа FullStory
Помимо этого с помощью таких решений владельцы могут их настроить более детально, таким образом можно добавить дополнительные фильтры для получения информации. Следует отметить, что компании "Яндекс", Hotjar и Smartlook используют незащищенный HTTP для передачи данных.
Такую слежку можно заметить на сайтах, microsoft.com, adobe.com или godaddy.com, но и на сайтах, от которых ожидать подобного не приходится. К примеру, walgreens.com уличили в сборе медицинской информации посетителей и даже «записи» данных о рецептах (и последующей передаче этих данных FullStory). Еще один пример, сайт компании Bonobos, которая «сливала» полные номера банковских карт посетителей, тоже в пользу FullStory.
Как можно защититься от отслеживания?
Для этого воспользуемся утилитой Ghostery. Она устанавливается в качестве утилиты в браузер Chrome или FireFox.
Ghostery
Ghostery отслеживает «невидимую» сторону интернета, где работают шпионы, сетевые жучки, пиксели и маяки, размещенные на сайтах рекламными сетями, поставщиками поведенческой информации, владельцами сайтов и различными компаниями, которые следят за вашей активностью в интернете. Ghostery распознает веб-жучки более чем 500 подобных компаний, в числе которых Facebook и Google.
Программа обладает очень гибкими настройками и можно открыть панель и посмотреть какие трекеры можно отдельно заблокировать.
В Ghostery выделены основные направления:
Реклама. Аналитика сайта. Взаимодействие с клиентами. Социальные сети. Важное. Аудио/видео проигрыватель. Реклама для взрослых. Комментарии.
Для начала я рекомендую заблокировать все пункты, а дальше адаптироваться и вносить некоторые сайты в белые списки или отключать отдельные группы трекеров, которые необходимы для работы на некоторых сайтах.
Перейдем после настройки на сайт adobe.com. И можно сразу увидеть, как программа заблокировала доступ к некоторым трекерам. Это можно увидеть на скриншоте.
Ghostery
Следует отметить, что можно выбрать режим доверия и тогда программа не будет блокировать и ограничивать доступ. Также можно остановить работу программу. Помимо этого все абсолютно точно отображается и показывается с какой категории было заблокирован конкретный "жучек".
Заключение
С помощью данного софта можно пробежаться по любым вашим сайтам и узнаете, сколько всего о вас собирают. Поэтому данный софт является довольно простым и хорошим решением, которое может обезопасить от отслеживания и получения данных через разные платформы и javascript backdors.
Источник @Kevin Mitnick
