Как сайты следят за тобой в интернете. Лучше не знать

То, что мы бесплатно заходим на интернет-сайты — иллюзия. Мы платим самым важным и ценным, информацией о себе.

Любой коммерческий ресурс зарабатывает на рекламе. Чтобы получить как можно большую отдачу от неё, он должен знать о вас всё. Какие же данные о вас получают сайты?

Яндекс

Специалисты Центра политики информационных технологий Принстона (CITP) проанализировали популярные системы веб-аналитики. Выводы предсказуемые: данные о нас с вами собирает едва ли не каждый сайт.

В отчёте говорится, что сайты не только хранят и обрабатывают обезличенные данные, но также используют сценарии отслеживания. Они позволяют владельцам ресурсов связывать полученные данные с подлинной личностью пользователя.

Заполненный кружок — система не собирает данные, наполовину заполненный — вводимые данные подменяются данными аналогичной длины, пустой кружок — данные собираются в исходном виде.

Из отчёта стало известно, что система аналитики «Яндекс» собирает в исходном виде следующие данные:

  • имя
  • e-mail
  • адрес
  • номер телефона
  • номер социального страхования
  • дата рождения
  • номер банковской карты, код CVC и дата окончания её действия.

Данные о паролях «Яндекс» не хранит. Другие системы аналитики собирают куда меньше данных.

На российских сайтах, указанных в отчёте, которые используют механизм обработки сессий от «Яндекса», практически везде обнаружили скрипт аналитики. А на самом yandex.ru и на ресурсе coccos.com — инструменты для записи сессий пользователей.

Facebook

Если зайти в настройки социальной сети и выбрать пункт «Реклама», а затем вкладку «Ваши интересы», можно указать предпочтительную тематику рекламных объявлений, которые будут вам показываться. Но и без того Facebook сам собирает вдумчиво и планомерно варианты для этого раздела.

Ниже показываются рекламодатели, с которыми вы взаимодействовали: у которых есть ваши данные, с сайта или приложения которых вы переходили и на чьи объявления кликали.

В общем, рекламодатели напрямую могут и не знать, что вам нравится Tesla Model S или вы считаете iPhone SE удобнее iPhone X. Но при фильтрации они будут использовать значительную часть информации, собранной о вас Facebook.

Если не отключить соответствующую настройку, пользователи (ваши друзья, к примеру) будут видеть, какую рекламу вы смотрели и на какие объявления кликали. С одной стороны, это даже хорошо: будут знать, к примеру, что подарить на Новый год.

Ведёт Facebook и журнал ваших действий: сохраняет лайки, комментарии, добавление в друзья, ответы в опросах и т.д. Координаты он тоже может получить — по GPS или ближайшим точкам доступа.

Опасно ли это, зависит от ситуации.

К примеру, если ревнивый муж сядет за ваш компьютер и будет знать, куда смотреть, он увидит больше, чем вам хотелось бы. Если ваш аккаунт взломают, то прочтут даже комментарии в закрытых группах и посты, которые видите только вы. Cookies других посещённых сайтов Facebook тоже читает…

В отличие от того же Telegram, Facebook сотрудничает с правоохранительными органами. И может предоставить им информацию о вас в случае необходимости. Напомним, компании Facebook принадлежат также WhatsApp и Instagram.

Итоги:

Facebook собирает о вас такую информацию:

  • Местоположение
  • Возраст и к какому поколению вы принадлежите
  • Пол
  • Язык
  • Образование: уровень, область знаний, в какой школе учились
  • Этническая принадлежность
  • Жильё: площадь квартиры / дома и придомовой территории, форма собственности, стоимость, год постройки дома, сколько времени вы живёте в доме и планируете ли переехать
  • Важные события у вас или у ваших друзей: день рождения в ближайшие 30 дней, произошедшие недавно свадьба, помолвка, переезд, смена работы, новые отношения, ожидание ребёнка
  • Семья: состав, состояние отношений, данные о родителях, находитесь ли вы вдалеке от семьи и родного города
  • Являетесь ли вы политиком, ваши политические предпочтения (либеральные, консервативные)
  • Информация о работе: должность, область деятельности, работодатель, тип офиса, количество сотрудников в компании, владеете ли малым бизнесом, являетесь ли руководителем
  • Личный транспорт: модель и марка автомобиля, год выпуска, дата покупки, покупали ли вы недавно запчасти или аксессуары для авто либо они вам требуются, планируете ли купить автомобиль, где можете приобрести следующую машину, владеете ли мотоциклом
  • Данные об устройстве: операционная система, браузер, сервис электронной почты, модель смартфона или планшета, давно ли купили мобильное устройство, тип подключения к интернету
  • Активность в Facebook: создание событий, оплата услуг (перечень и сумма), загрузка фото, управление страницами, лайки, комментарии, добавление в друзья, ответы в опросах, на какие сайты переходили из социальной сети
  • Уровень знаний в сфере технологий
  • Являетесь ли экспатом
  • Деньги: ваш доход, участвуете ли в благотворительных проектах и в каком направлении, инвестируете ли средства и в какие проекты, имеете ли отношение к банкам или кредитным союзам, тип вашей кредитки, наличие дебетовой карты, баланс на ней (положительный, отрицательный, нулевой), пользуетесь ли кредитными линиями, активно ли тратите деньги с кредитки
  • Активность в сфере развлечений: казуальные игры, игровые консоли, радио, телешоу, футбол, крикет, Олимпийские игры
    Покупки: пользуетесь ли купонами, любимые бренды одежды, продуктов, косметики, алкоголя и объёмы потребления, покупаете ли товары для дома, детей, домашних животных (каких именно), тратите ли больше среднестатистической семьи, предпочитаете ли интернет-шопинг, в какие магазины ходите, в каких ресторанах едите
  • «Восприимчивы» ли вы к предложениям в сферах онлайн-страхования, ипотеки, высшего образования, спутникового ТВ
  • Здоровье: покупаете ли лекарства от аллергии, лекарства от кашля / простуды, болеутоляющие и безрецептурные лекарства
  • Как добираетесь до работы, часто ли путешествуете, используете ли приложения для путешественников, вернулись ли недавно из поездки, чем занимаетесь в отпуске

Полный список представлен здесь.

ВКонтакте

Разработчик Владислав Велюга подробно рассказал, какие данные соцсеть собирает о пользователях. Пользователь проанализировал трафик «ВКонтакте» при авторизации, использовании раздела аудиозаписей, заход в видеораздел. Данных оказалось подозрительно много.

«ВКонтакте», в общем-то, не скрывала этого. Но представители настаивали, что данные нужны исключительно для более точного подбора рекламы.

Сбором мобильной аналитики занимается общедоступный модуль myTracker. Он отправляет данные на сервера Mail.ru Group. Там информация обрабатывается, и отчёты в зашифрованном виде возвращаются «ВКонтакте».

При работе с аудиозаписями социальная сеть собирает данные о геолокации. Не всю музыку, которая защищена авторскими правами, можно слушать в определённых регионах.

Если вы сменили SIM-карту в смартфоне, «ВКонтакте» также об этом узнает. Это необходимо, чтобы решить, отправлять ли вам код валидации или нет, являетесь ли вы ботом или нет.

Формально собранные сведения не являются персональными данными, поэтому не подпадают под закон об их защите. Но имеет ли Mail.ru Group доступ ко всей информации или только к статистике мобильного модуля myTracker, представители компании не уточняют.

Но зачем, к примеру, «ВКонтакте» нужны все данные об установленных приложениях? Или о том, включён ли у вас Bluetooth, о названии точки доступа, к которой вы подключены, и других точек, их MAC-адреса и уровни сигнала в dB? Действия пользователя также логируются: вплоть до изменения громкости в видео.

Подозрительно? Весьма. Хотя «ВКонтакте» и достаточно резко раскритиковала отчёт Велюги, есть повод задуматься.

Итоги:

«ВКонтакте» собирает о вас такие данные, если верить отчёту Велюги:

  • Список всех установленных приложений
  • Состояние и скорость подключения к интернету, время запроса к API и время загрузки изображений
  • Информация об устройстве
  • Информация обо всех действиях пользователя, включая изменение громкости, вход и выход из полноэкранного режима при просмотре видео, время остановки воспроизведения видео
  • Местоположение
  • Номер телефона SIM-карт в смартфоне
  • Активен ли Bluetooth
  • Данные о точке доступа Wi-Fi, к которой вы подключены (имя, уровень сигнала, МАС-адрес), и других точек доступа в радиусе действия адаптера

Google

В данном случае имеем в виду сам поисковик, а не то, что он найдёт на сторонних сайтах по запросу с вашими ФИО. Зайдите в настройки рекламы — здесь уже составлен список тем, которые вам интересны.

Из вашего профиля Google берёт пол и возраст и также показывает рекламодателям.

Но можно задать темы вручную или установить официальный плагин для браузера, который отключит персонализацию рекламы раз и навсегда.

Сохраняет Google и историю запросов. Она привязывается к аккаунту, так что не удивляйтесь, что если вы искали на работе рецепты пончиков, то они будут преследовать вас и дома.

Определяет он и устройства и IP-адреса, с которых заходили в аккаунт https://myaccount.google.com/device-activity. История хранится за последние 28 дней.

Отключается слежка здесь. А здесь можно проверить, каким приложениям доступны все собранные Google данные.

Итоги:

Google собирает о вас следующие данные:

  • Пол
  • Возраст
  • Устройства и IP-адреса, с которых заходили в аккаунт
  • История поисковых запросов, которые группируются по тематике
  • История переходов на сайты
  • История переходов по рекламным объявлениям
  • Местоположение

Учётные записи

Chrome, Firefox и другие браузеры стремятся упросить жизнь пользователю, предлагая сохранить логин и пароль от сайта, чтобы в следующий раз не вводить вручную. В Chrome этот раздел находится в настройках: нажимаете «Дополнительные» внизу, переходите к блоку «Пароли и формы», в нём — «Настроить»: chrome://settings/passwords.

Если нажать на значок глаза в правой части строки, покажется и сам пароль. Если хотите удалить отсюда запись, нажмите на три точки в конце строки и выберите пункт «Удалить».

В Firefox список показывается в разделе «Настройки» — «Защита» — «Сохранённые логины» (или по адресу about: preferences#security в адресной строке).

В Safari список логинов и паролей доступен в разделе «Настройки» — «Пароли».

Предполагается, что сайт узнает сохранённые логины и пароли, только если вы ему разрешите. Но появляются всё новые методы взлома, которые выгружают пароли из браузеров и используют для кражи других данных.

Кликджекинг на сайтах

Вы можете поставить лайк на сайте, даже не подозревая об этом. Такой способ получения информации называется кликджекингом.

Сайты сейчас делаются многослойными. При кликджекинге верхний iFrame прозрачный, невидимый. В нём скрыта кнопка, на которой постоянно находится курсор. Другой вариант — видимый фрейм с кнопками, к примеру, для воспроизведения видео.

Один из самых распространённых вариантов кликджекинга — соцфишинг, незаконное получение данных профиля социальной сети. Отсюда же появляется подписка на «левые» группы и страницы, спам-сообщения в личке и т.п.

Как только вы кликаете по любому месту сайта, ставится условный лайк. После этого сайт получает доступ к профилю пользователя в социальной сети. Если, конечно, вы в ней авторизованы.

Обычно на сайтах с кликджекингом курсор из стрелочки принимает вид руки с указательным пальцем — как будто вы навели его на ссылку. Но, вообще говоря, вид курсора можно менять, чтобы пользователь ничего не заподозрил.

Как проверить сайт на кликджекинг? К примеру, плагином Firebug для Firefox. Если он покажет на вкладке «Сеть» — «Все» что-то вроде этого, кликджекинг есть.

Собственный сайт на кликджекинг можно проверить, к примеру, с помощью сервиса «Яндекс.Вебмастер». Кстати, «Яндекс» за кликджекинг наказывает понижением в выдаче на десятки позиций.

Защититься от кликджекинга можно с помощью плагинов для браузера. Например, Noscript для Firefox, который позволяет контролировать исполнение скриптов на сайте, или ScriptSafe для Firefox и Chrome с аналогичными возможностями.

E-mail как ключ от всех дверей

Легальная схема получения данных может запуститься, если вы оставите на сайте свой e-mail. К примеру, если используете его для авторизации или подпишетесь на рассылку.

Сайт проверит, привязан ли e-mail к учётным записям в социальных сетях. Если да, то автоматически подгрузит нужные данные из социальных сетей и сохранит у себя.

Этот способ расписала на «Хабре» компания Carrot quest, да и другие разработчики его используют.

Так как информация берётся из открытых источников, нарушения закона нет. Но вы можете даже не подозревать, что конкретный сайт всё это о вас узнает по e-mail.

Анализ дампа памяти

Процесс браузера, как и процессы других приложений, хранит данные в оперативной памяти. Если снять дамп памяти, можно узнать о вас очень многое.

Инструмент MemDump позволяет расшифровать данные из дампа. Всё, что не было стёрто из памяти, запишется в файл дампа. Проанализировать его можно вручную или с помощью HTML-анализатора. В частности, в дампе может остаться информация о прошлых поисковых запросах, e-mail, аккаунтах, посещённых страницах.

Как это используют? Через механизм межсайтового сопряжения. Часто разработчики создают веб-сервисы, которые работают в операционной системе на одном уровне с браузером и, к примеру, поддерживают авторизацию через Google, Facebook и т.д.

Сервисы собирают аналитику из дампов памяти, привязанную к определённому аккаунту. Как минимум у них будет ссылка на ваш профиль в социальной сети, как максимум — лог всех ваших действий.

Сервисы для проверки

Один из самых забавных сервисов, который озвучивает ваши действия в реальном времени — https://clickclickclick.click/(не забудьте включить звук).

Он собирает следующие данные:

  • Впервые зашли на сайт
  • Вернулись на сайт (и в какой раз)
  • Сколько времени здесь провели
  • Кликнули по кнопке (сколько раз, как часто)
  • Переместились по странице (в каком направлении, с какой скоростью)
  • Сделали окно неактивным (и на какое время)
  • Количество сайтов, которые вы посетили, пока окно было неактивным
  • В каком браузере открыли сайт
  • Ваша любимая область экрана, характерная скорость клика

Любой другой сайт может точно так же отслеживать эти действия. Но вслух ничего не говорить. Кстати, своими действиями вы открываете ачивки:

Вот сервис посерьёзнее — http://webkay.robinlinus.com/. Показывает много:

  • Местоположение
  • Данные о программном обеспечении: версия и разрядность ОС, версия браузера, наличие плагинов для браузера
  • Информация об устройстве: количество ядер процессора, производитель графического адаптера, разрешение экрана, уровень заряда батареи, состояние зарядки (заряжается или нет) и время до её окончания
  • Данные об интернет-подключении: локальный и внешний IP, провайдер, скорость загрузки
  • Список устройств в вашей локальной сети
  • Перечень социальных сетей, в которых вы авторизованы
  • Данные с гироскопа

Также сервис показывает метадату фотографий, если вы их загрузите.

Практически вся информация обо мне соответствовала действительности. Разве что с адресом сервис на пару домов ошибся.

Выводы

При желании сайт может узнать о вас достаточно много. Особенно с помощью кликджекинга. Впрочем, и другие методы довольно эффективны. Ведь вы не раз замечали рекламу, которая преследует вас?

Сам по себе сбор информации для таргетирования рекламы безопасен. Но если данные окажутся в руках злоумышленников или ревнивого мужа, последствия непредсказуемы. Банально: если они будут знать, когда вас нет за компьютером или когда вы за рабочим ПК, смогут выбрать лучшее время для грабежа.

Как защититься от этого? Скоро всё подробно расскажем)

Хочешь знать больше? См. Facebook, ВКонтакте и Telegram

©  iphones.ru