Anda telah membaca berita tentang skrip pemutaran ulang sesi dan bagaimana skrip tersebut memungkinkan lebih dari 400 situs web melacak setiap penekanan tombol dan klik mouse Anda, dan tentu saja Anda merasa prihatin. Jika Anda belum mengikuti beritanya, para peneliti di Universitas Princeton Pusat Kebijakan Teknologi Informasi (CITP), menemukan bahwa 400 situs web terpopuler di dunia, termasuk Telegraf dan BBC Good Food menjalankan kode yang mampu melacak semua yang Anda ketik di situs web. Artinya, tanpa sepengetahuan atau persetujuan tegas Anda, informasi Anda diambil dan digunakan oleh server pihak ketiga.
Anda mungkin berpikir bahwa situs web yang merekam aktivitas Anda sehingga produk Anda dapat dipasarkan ulang bukanlah hal baru, dan memang bukan hal baru. Namun, dalam hal ini, skrip pemutaran ulang sesi memiliki jangkauan yang jauh lebih luas daripada sekadar apa yang Anda putuskan untuk diklik dan dibeli.
Di sini, beberapa situs web yang paling banyak diperdagangkan di dunia mencatat setiap penekanan tombol yang Anda lakukan – baik itu penelusuran situs atau obrolan teks dengan asisten. Jika Anda mulai mengisi formulir dengan alamat email, nomor telepon, atau detail pribadi dan kemudian memutuskan untuk tidak menindaklanjutinya, situs tersebut sudah memiliki informasi yang mereka inginkan.
Untungnya, ada cara untuk melindungi diri Anda dari situs-situs ini dan skrip pemutaran ulang sesi secara keseluruhan. Dirilis sebagai bagian dari penelitian CITP adalah daftar setiap situs yang dapat ditelusuri yang ditemukan menggunakan skrip pemutaran ulang sesi. Ini juga, dengan mudah, memberi tahu Anda apakah situs tersebut bersalah karena mengirimkan informasi Anda ke server pihak ketiga.
Cara memblokir skrip pemutaran ulang sesi:
Cara termudah untuk menghindari skrip pemutaran ulang sesi adalah dengan mengunjungi Daftar CITP yang dapat dicari dan secara aktif menghindari penggunaan situs tersebut. Ini mungkin berarti Anda harus mengubah kebiasaan browsing Anda, tapi mungkin akan lebih baik jika Anda melakukannya.
Jika Anda tidak ingin mengubah kebiasaan browsing Anda, dan saya tidak menyalahkan Anda, Anda dapat menggunakan AdBlock Plus. Sementara AdBlock Plus membunuh 99% pendapatan sebagian besar publikasi, seperti alfa, dapatkan dari pengunjung halaman Anda, sekarang diperbarui sendiri untuk menghentikan skrip pemutaran ulang sesi di 487 situs yang terdaftar oleh CITP. Anda harus membayar untuk AdBlock Plus, yang tampaknya agak aneh untuk membayar sesuatu agar berhenti membayar konten lain, tetapi itu berhasil.
Bagaimana hal itu ditemukan, lebih dari 400 situs menggunakan skrip pemutaran ulang sesi untuk mengikis informasi Anda
Selama bertahun-tahun, keylogger identik dengan pengunduhan cerdik dan spyware yang masuk ke PC Anda. Saat ini, teknologi sudah jauh lebih umum dan umum, dan tampaknya digunakan dengan cara yang paling mengganggu.
Penelitian dari Universitas Princeton Pusat Kebijakan Teknologi Informasi (CITP) menemukan bahwa 400 situs web paling populer – termasuk Telegraf dan BBC Good Food – menjalankan kode yang mampu melacak semua yang Anda ketik tanpa sepengetahuan atau persetujuan tertulis Anda.
Yang lebih mengkhawatirkan lagi adalah penekanan tombol dan data Anda, termasuk informasi yang Anda ketik dan kemudian dihapus, dikirim ke server pihak ketiga.
Sebagai papan utama catatan, ini adalah situasi yang mirip dengan apa yang dilakukan Facebook dengan pembaruan status pengguna yang tidak lengkap. Pada tahun 2013, ketika terungkap bahwa Facebook mencatat apa yang dikatakan dan kemudian dihapus sebelum postingan dipublikasikan, orang-orang menjadi marah. Namun sekarang, dengan semua situs web terkemuka yang melihat apa yang Anda tulis dan klik, kami hampir sepenuhnya tidak menyadari hal itu sedang terjadi.
BACA BERIKUTNYA: Inilah cara Anda melihat semua yang diketahui Facebook tentang Anda
Agar adil bagi situs-situs yang diketahui menggunakan layanan pencatatan keystroke tersebut, sebenarnya mereka tidak bermaksud untuk mendapatkan informasi ini. Sebaliknya, ini adalah konsekuensi langsung dari penggunaan sesuatu yang disebut “Session Replay Script”. Skrip web ini digunakan untuk melacak keterlibatan dan membantu desain UX untuk memberi tahu pemilik situs bagaimana mereka dapat meningkatkan perjalanan pengunjung melalui situs web mereka. Sayangnya, skrip ini merekam hampir semua hal dan mengirimkannya untuk dianalisis.
Hal ini menjadi lebih buruk ketika Anda menemukan bahwa, seperti yang dikatakan oleh tim peneliti, hal tersebut tidak dapat “diharapkan secara wajar untuk tetap anonim”. Seperti yang dijelaskan Motherboard, salah satu perusahaan pembuat skrip pemutaran ulang sesi FullStory sebenarnya memberikan informasi pelacakan tertaut kepada pemilik situs. Mereka akan dapat melihat siapa pengguna tertentu dan melihat seluruh aktivitas situs mereka secara real time – termasuk semua yang mereka ketik.
Berikut ini video yang dapat dilakukan oleh Session Replay Script FullStory, namun banyak perusahaan lain yang mengembangkannya juga melakukan hal serupa:
https://youtube.com/watch? v=l0Yc8s0DTZA
Para peneliti melakukan penelitian mereka dengan melihat tujuh perusahaan session replay paling populer di pasar dan menguji produk mereka pada serangkaian halaman pengujian. Dalam melakukan hal ini, mereka menemukan bahwa setidaknya satu dari skrip ini digunakan oleh 482 dari 50.000 situs teratas dunia yang diurutkan berdasarkan peringkat Alexa.
Bagian dari pos penelitian mereka, “Tanpa batasan: Eksfiltrasi data pribadi dengan skrip pemutaran ulang sesi”, dirilis tim dari Princeton daftar situs yang menggunakan skrip – tetapi hanya situs yang telah dikonfirmasi mengirimkan rekaman tersebut ke pihak ketiga.
Melihat daftar situsnya, ada beberapa penyebab yang agak mengkhawatirkan. Sekilas menunjukkan bahwa WordPress.com, Microsoft.com, Adobe.com, dan Spotify.com semuanya menggunakan skrip pelacakan ini. Telegraf situs web juga merupakan pelaku pelacakan bersama dengan BBC Good Food. Untungnya, situs-situs ini belum terdaftar karena melakukan lebih dari sekadar menggunakan perangkat lunak, situs-situs yang tampaknya memang demikian Merekam dan mengirim data ke pihak ketiga tampaknya merupakan kombinasi yang aneh, dengan situs pencarian Rusia Yandex memimpin mengenakan biaya.
BACA BERIKUTNYA: Keamanan dan privasi akan selalu menjadi tindakan penyeimbang yang tidak sempurna
Anehnya, situs web HP sendiri terdaftar sebagai pengirim data bersama dengan Atlassian, Xfinity, dan Comcast.
Banyak perusahaan yang mengirimkan data ini juga menawarkan layanan redaksi untuk menghapus informasi sensitif, namun banyak juga yang tidak menawarkannya. Informasi yang bocor ke ruang publik dapat menimbulkan implikasi privasi yang serius.
“Pengumpulan konten halaman oleh skrip pemutaran ulang pihak ketiga dapat menyebabkan informasi sensitif seperti kondisi medis, detail kartu kredit, dan informasi pribadi lainnya yang ditampilkan di halaman untuk dibocorkan ke pihak ketiga sebagai bagian dari rekaman,” tulis para peneliti di dalamnya pos.
Para peneliti mencatat bahwa informasi pribadi dan kata sandi biasanya lolos dari perangkat lunak redaksi apa pun, meskipun hanya sebagian. Menariknya, penyedia Session Replay Script UserReplay dan SessionCam sepenuhnya memblokir informasi dengan melacak di mana pengguna mengklik sebelum mereka mengetik. Namun, jika informasi ditampilkan secara default di layar, seperti masuk ke halaman akun situs, data pribadi Anda tidak akan diubah.
Dalam kebanyakan kasus, itu tidak masalah. Namun ketika satu situs, seperti jaringan apotek Amerika Walgreens, mencantumkan kondisi medis sebelumnya dan resep di halaman pengguna Anda secara default, semua informasi itu bisa dengan mudah salah tangan.
BACA BERIKUTNYA: Siswa menggunakan keylogger untuk mengubah nilainya lebih dari 90 kali
Jika Anda bertanya-tanya seberapa besar kemungkinan hal itu terjadi, ternyata keadaannya justru menjadi lebih buruk. Sebagaimana dicatat dalam postingan mereka, para peneliti menemukan bahwa perusahaan pelacakan sesi ini sebenarnya rentan terhadap peretasan yang ditargetkan. Tidak hanya target bernilai tinggi, namun banyak dasbor analitik yang digunakan klien mereka dijalankan pada halaman HTTP yang tidak terenkripsi, bukan halaman HTTPS.
Dengan menggunakan HTTP melalui HTTPS, “ini memungkinkan man-in-the-middle yang aktif untuk memasukkan skrip ke halaman pemutaran dan mengekstrak semua data rekaman,” jelas para peneliti.
HTTP memungkinkan man-in-the-middle yang aktif mengekstrak semua data rekaman
Sejak laporan tersebut keluar, beberapa situs yang menggunakan Session Replay Scripts dan vendor yang bertanggung jawab untuk membuatnya telah mengomentari masalah ini. Banyak tanggapan yang menunjukkan bahwa banyak situs tidak begitu menyadari cara kerja hal-hal ini, sehingga mereka mempertimbangkan untuk menghentikan layanan tersebut atau memperbaikinya untuk menjaga keamanan data pengguna. Di sisi pengembangan, dari sedikit orang yang angkat bicara mengenai masalah ini, SessionCam menyediakan sebuah postingan blog menguraikan kekhawatiran mereka dan meyakinkan pengguna bahwa keamanan dan privasi adalah perhatian utama mereka.
BACA BERIKUTNYA: Seberapa amankah layanan penyimpanan cloud?
Karena SessionCam sebenarnya adalah penyedia Skrip Putar Ulang Sesi yang paling aman, setidaknya dari sudut pandang privasi pengguna, postingan tersebut cukup meyakinkan bahwa perusahaan berupaya menjaga keamanan data pengguna.
Lihat terkait
“Semua orang di SessionCam dapat memahami kesimpulan CITP: 'Meningkatkan pengalaman pengguna adalah tugas penting bagi penerbit. Namun, hal ini tidak boleh mengorbankan privasi pengguna.',” tulis SessionCam. “Seluruh tim di SessionCam menghayati nilai-nilai ini setiap hari. Privasi pengunjung situs web Anda dan keamanan data Anda sangat penting bagi kami.
“Saya berterima kasih kepada CITP karena telah mengangkat masalah ini dan mengkaji pertanyaan-pertanyaan tersebut. Kami akan terus berupaya memberikan keamanan yang lebih kuat dan memberikan ketenangan pikiran yang dibutuhkan klien dan pelanggan kami.”
Ada satu cara untuk bertahan melawan skrip pemutaran ulang sesi ini, instal AdBlock Plus. Sebelumnya ini melindungi Anda dari beberapa pelacak ini, tetapi sekarang, setelah penelitian Princeton, ini diperbarui untuk melindungi Anda dari setiap skrip yang terdaftar di postingan peneliti.
