Olyan, mintha internetezés közben ott ülne valaki a hátad mögött egy kamerával, és felvenne mindent, amit csinálsz.

Az amerikai Princeton Egyetem kutatói szerint a világ legnépszerűbb weboldalai közül egyre több használ olyan speciális kódot, ami lehetővé teszi, hogy a látogatóik minden mozdulatát lekövessék. Majdnem egymillió weboldalt vizsgáltak át, és online áruházakban, pénzügyi szolgáltatóknál, szállodák honlapjain és pornóoldalakon is találtak ilyen kódot.

A dolog magyar viszonylatban azért különösen érdekes, mert az amerikai kutatók által kockázatosnak talált egyik eszköz, pont az orosz Yandex mérőkódja volt, amit idén tavasszal a 444 megtalált a nemzeti konzultáció hivatalos kormányzati oldalán.

Szinte minden weboldal méri valahogy, hányan látogatják, a látogatók pontosan miket olvasnak, merre kattintanak, stb.. Ezek az esetek többségében anonim statisztikai adatok, tehát meg tudjuk nézni például, hogy a 444 címlapjáról melyik cikkre kattintottak tegnap a legtöbben, de ezt, hogy konkrétan Kis Istvánné Ingrid fent volt-e a címlapon, vagy olvasott-e bármilyen cikket, azt nem.

Ezen a fronton az elmúlt hónapokban-években hangsúlyos változások történnek. A webstatisztikai piacon megjelentek bizonyos "session-replay scripts" nevű eszközök. Ezek már nem csak azt tudják megmérni, hogy hány ember járt a címlapon, és utána hova kattintottak a legtöbben, hanem tényleg úgy rögzítik a böngészés minden pillanatát, mintha kamerával venné a képernyőt valaki.

Nem csak azt veszik fel, hogy pontosan merre kattint (vagy akár csak hadonászik) valaki az egérrel, hanem például azt is, hogyan tölti ki a weboldalon lévő mezőket. Ha egy ilyen kódot futtató oldalon bekérik valahol az emailcímet, és felhasználó beírja, akkor rögzítik azt is, vagy a lakcímet, az életkort, a hitelkártya-számot és bármi mást, amit böngészés közben beír az ember.

Pontosan ez történt a magyar nemzeti konzultációs oldalon is, ahol a Yandex kódja egy orosz szerver felé továbbította a kitöltők adatait, amíg a 444 cikke nyomán el nem távolították az oldalról.

Az amerikai kutatók három pontban foglalták össze, milyen problémák vannak az ilyen típusú megfigyeléssel.

1. Illetéktelenül rögzíthetik a felhasználók jelszavait

Bár minden szolgáltatás igyekszik a "Jelszó" megjelölésű mezőkbe írt szöveget nem rögzíteni, de ez nem sikerül mindig. Különösen mobilos felületeken előfordul, hogy ezek az alkalmazások felveszik és tárolják, milyen jelszót írt be a felhasználó.

2. Nem tudják igazán jól megvédeni az érzékeny adatokat

A hét vizsgált szolgáltatás közül szinte mindegyik igyekszik valamilyen automatizmus mentén nem rögzíteni például a hitelkártya adatokat, de ezek sem működnek igazán jól. A szolgáltatások alaphelyzetben szinte minden felvesznek, így a weboldal üzemeltetőjén lenne a felelősség, hogy átnézze minden aloldal minden lehetséges mezőjét, és "kézzel" jelölje, ahová érzékeny adat kerülhet. Ez az automatikusan generált oldalak világában szinte lehetetlen feladat, ráadásul minden jelentős oldalfrissítéskor újra és újra végig kéne csinálni, ami életszerűtlen.

3. Nincs rá semmilyen garancia, hogy a mérések szolgáltatóinál biztonságban vannak az adatok

Még ha a weboldal üzemeltetője minden tőle telhetőt el is követ, hogy megvédje a felhasználói adatait, az ilyen típusú méréseket szolgáltatásként vásárolják, az adatok pedig a szolgáltatónál, például a Yandexnél parkolnak. Ezeket a cégeket feltörhetik, ráadásul sok esetben ők sem titkosítják megfelelően az interneten forgalmazott adatokat.

A princetoni tanulmány ráadásul mindenhol jóhiszemű használatot feltételez, tehát itt piaci alapon működő cégek a hatékonyságuk növelésének érdekében akarnak minél többet megtudni a felhasználóikról. Látszik, hogy még akkor is van egy csomó kockázata az ilyen kódok használatának, ha nem merül fel semmilyen politikai szál, mint a magyar konzultációs oldal és a Yandex kód esetében.

Az átvizsgált 900+ ezer oldal közül egyébként egy magyar szálloda, a Spirit Hotel oldalán találták meg a Yandex kódját úgy, hogy ez a különlegesen részletes rögzítési funkció is be volt kapcsolva.