אתרים שאתם גולשים בהם יודעים עליכם הרבה יותר ממה שאתם חושבים - אפילו אם אתם לא שולחים להם טפסים או שמות משתמש וסיסמאות.
שלושה חוקרים מהמרכז למדיניות טכנולוגיית מידע באוניברסיטת פרינסטון פרסמו בשבוע שעבר מחקר ראשון בסדרת מחקרים שזכתה לכותרת "אין גבולות", ומיועדת לחשוף איך חברות עוקבות אחרינו באינטרנט.
המחקר הראשון עוסק במה שנקרא session replay - או בתרגום חופשי "שחזור גלישה". מדובר בשירות שמשולב במיליוני אתרים בעולם, ומיועד בעיקרון לעזור למפעיליהם לדעת אילו חלקים באתר שימושיים יותר ואילו פחות וכך לשפר אותם לטובת הגולשים. אלא שהדרך שבה זה נעשה מהווה סכנה של ממש לפרטיות: קוד של חברות צד שלישי שמשולב באתרים "מקליט" כל פעולה של הגולש באתר - תזוזות עכבר, תנועות גלילה, הקלדות ולחיצות. המידע הזה נשלח לחברות המציעות את השירות, וברוב המקרים גם לחברות ששילבו אותו באתר שלהן.
החוקרים בחנו 7 חברות שמספקות שירות כזה, ביניהן קליקטייל הישראלית, ומצאו כי 6 מתוכן מתעדות את את השם וכתובת המייל, הכתובת ומספר הטלפון - אם כי שתיים מהן מסתירות את המידע באופן חלקי. סיסמאות ופרטי אשראי מוסתרים על ידי רוב החברות, אך לא תמיד. החוקרים ציינו כי לגבי קליקטייל הישראלית לא הצליחו כלל לברר איזה מידע "מקליטה" החברה.
השלב הבא היה לברר כמה נפוץ השימוש בהקלטת גלישה באתרים. החוקרים מצאו כי כמעט 500 מתוך 50,000 האתרים הפופולאריים בעולם מקליטים את הגלישה בוודאות - וברשימה ששחררו ניתן לראות כי מתוך 10,000 האתרים הגדולים בעולם, כוללים יותר מ-1,200 קוד ששייך לחברות המעקב ועשוי להפעיל "הקלטה" של מהלך הגלישה, כך שיכול להיות שמספר האתרים שעוקבים אחרינו הוא כ-10% מאתרי האינטרנט.
וזה לא קורה רק באתרים של חברות מפוקפקות: ברשימת המשתמשים בשירות "שחזור גלישה" נמצאים וורדפרס, עליה מבוססים מיליוני אתרים פרטיים; כל אתרי מיקרוסופט (כולל אופיס, סקייפ, אקס-בוקס ועוד); אדובי; שירות הזרמת המוזיקה ספוטיפיי; אתר ההורדות Softonic; יצרניות החומרה סמסונג, HP, אייסוס, לנובו ואינטל; ואתר הקניות BangGood.
מה שמטריד במיוחד הוא שהמידע המוקלט יכול לחשוף פרטים אישיים רבים: מלבד שם, כתובת מייל, מספר טלפון ופרטי אשראי, ציינו החוקרים כי מההקלטות ניתן ללמוד גם מה מחפשים משתמשים באתרים מסוגים שונים, מה הם ראו, על אילו מין תמונות וסרטונים לחצו - והכל תוך יכולת לקשור את כל המידע הזה לשם המשתמש, ואף לפרטים אישיים יותר.
כרגע הדרך היחידה להימנע מהמעקב היא שימוש בתוסף חוסם פרסומות מעודכן, אך החוקרים מקווים שהעלאת המודעות לנושא תגרום לחברות שמציעות את השירותים לשנות את אופיים כך שיתעדו מידע באופן "סטטיסטי" יותר כלומר רק יגידו למפעילים כמה אנשים לחצו על כל דבר באתר או הקלידו ומחקו הרבה פעמים בתיבה מסוימת (מה שעשוי להעיד למשל על הגבלת אורך קטנה מדי, מה שמחייב ניסוח מחדש של משפטים כדי להתאים למגבלה), בלי לחשוף את השימוש של כל גולש בנפרד.