Näin verkkosivut voivat seurata jokaista liikettäsi – jopa lähettämättä jäänyt tekstisi voidaan kaapata - Tietoturva - Ilta-Sanomat

Näin verkkosivut voivat seurata jokaista liikettäsi – jopa lähettämättä jäänyt tekstisi voidaan kaapata

Kuvituskuva
Julkaistu: 23.11.2017 7:00

Verkkosivut keräävät vierailijoistaan valtavasti arkaluonteista tietoa – jota pahimmillaan käsitellään leväperäisesti.

Uusi tutkimus valaisee huonosti tunnettua käytäntöä, jolla tuntematon määrä verkkosivustoja vahtii vierailijoitaan.

Yhdysvaltalaisen Princeton Universityn tutkimuksesta kertoo muun muassa Ars Technica. Käytännössä kaikki, mitä teet seurantaa harjoittavilla sivuilla, voidaan tallentaa ja toistaa myöhemmin käyttämällä ulkopuolisten yritysten myymiä sessiontallennustyökaluja.

Verkkosivujen pitäjät voivat tallentaa näppäinpainallukset, hiiren liikkeet ja sivun vieritykset reaaliajassa. Jos esimerkiksi kirjoitat verkkosivulle luottokorttinumerosi tai salasanasi, mutta et klikkaa lähettääksesi vaan pyyhit ne pois, tiedot ovat silti jo tallentuneet verkkosivun pitäjän nähtäviksi.

Tarkoitus on käyttää tietoja sivuston parantamiseen, mutta uhkana käyttäjälle on tietojen vuotaminen.

– Sivujen sisällön kerääminen kolmansien osapuolten skriptien avulla voi johtaa arkaluonteisen tiedon, kuten sairauksien, luottokorttitietojen ja muun sivun esittämän henkilökohtaisen tiedon, vuotamiseen kolmannelle osapuolelle osana tallennetta. Tämä voi altistaa käyttäjät identiteettivarkaudelle, verkkohuijauksille ja muulle ei-toivotulle toiminnalle, varoittaa Princetonin tutkija Steven Englehardt.

Avoimia kysymyksiä

On epäselvää, miten laajaa seuranta on, mutta on viitteitä, joiden mukaan se voi olla verrattain yleistä. Pelkästään 10 000 suosituimman verkkosivuston joukossa oli yli 1200 sivustoa, joilla oli vähintään kyvykkyys seurantaan. Se ei tosin itsessään todista, että seurantaa harjoitetaan.

Suosituimpia sivuja listalla ovat esimerkiksi Wordpress.com, Microsoft.com ja Adobe.com. Näitäkin ylempänä oli Yandex.ru, jonka tapauksessa oli näyttöä todellisesta seurannasta.

Ei ole myöskään täysin selvää, missä määrin tiedot muutetaan nimettömiksi niin, ettei niitä voi yhdistää tiettyyn henkilöön. Englehardtin mukaan jotkut seurantapalveluja tarjoavat yritykset nimenomaan sallivat tallenteiden yhdistämisen todelliseen henkilöön.

Toki siinä vaiheessa, kun tietojen joukossa on vaikkapa potilastietojen, luottokorttinumeroiden tai salasanojen kaltaisia arkaluonteisia tietoa, ei surffaussession nimettömyydestä olisi enää suojaksi muutenkaan.

Salatusta tiedosta tulee salaamatonta

Joissakin tapauksissa kerättyjen tietojen suojaus on olematonta. Englehardt löysi esimerkkejä, joissa tallenteiden toistamiseen käytetyt verkkosivut olivat salaamattomia mahdollistaen tietoliikenteen salakuuntelun. Jos vierailijoiden käyttämät sivut olivatkin salattuja, ei siitä enää tässä vaiheessa ollut hyötyä.

Käyttäjä on toistaiseksi melko voimaton. Verkkosivut kertovat varsin laiskasti harjoittamastaan seurannasta ja sen estämiseksi ei ole ollut tehokkaita työkaluja.

Yleisenä ohjeena voi antaa, että oleta jokaisen tekosi verkkosivulla olevan kerättävissä varoittamatta, ja mieti kahdesti arkaluonteisten tietojen syöttämistä jopa tunnetuilla ja luotettavina pidetyillä sivuilla.

Tuoreimmat osastosta