’Script in veel bekende websites houdt alle toetsaanslagen bij’

Een bezoek aan een willekeurige bekende website kan een ernstige inbreuk op je privacy tot gevolg hebben. Maar liefst 482 websites uit de 50.000 websites uit de Alexa-ranking registreren bijna alles wat bezoekers op de website doen en intikken. Dat hebben onderzoekers van het Centre for Information Technology Policy (CITP) van de Princeton University ontdekt.

In de code van honderden websites, waaronder WordPress.com, Microsoft.com, Adobe.com, Spotify.com, The Telegraph en de BBC-site Good Food, zitten soort keyloggers verstopt om te analyseren wat bezoekers op de website doen. Vaak gebeurt dit om de gebruiksvriendelijkheid van websites te optimaliseren. Maar wat bezoekers niet weten is dat intussen ook hun toetsaanslagen worden geregistreerd en soms zelfs bewaard op servers van externe partijen.

Volgens een bericht van Alphr zit de duvel in het zogeheten Session Replay Script. Er zijn verschillende diensten die een dergelijke keylogging-service aanbieden. Enkele daarvan zijn Full Story, UserReplay en SessionCam.

Een woordvoerder van SessionCam heeft ook gereageerd op alle ophef die hierover is ontstaan. “Het verbeteren van de gebruikservaring is heel belangrijk voor uitgevers. Het mag natuurlijk niet zo zijn dat dit ten koste gaat van de privacy van gebruikers.” Het bedrijf zegt de beveiliging te zullen verbeteren zodat uitgevers en bezoekers weer gerustgesteld zijn.

De onderzoekers hebben overigens wel een remedie die je beschermt tegen dit soort praktijken. Mensen die de browser plugin AdBlock Plus geïnstalleerd hebben, niet gevolgd worden.