31/03/21
Intel пополнила стремительно растущий список компаний, обвиняемых в нарушении законодательства США в области перехвата данных за использование стороннего кода для отслеживания взаимодействий пользователей с их сайтами (нажатых клавиш на клавиатуре, кликов мыши, передвижений курсора).
Как сообщает The Register, на прошлой неделе поданный в феврале судебный иск против Intel был передан судом штата Флорида в Федеральный окружной суд в Орландо (Флорида). Истец Холли Лондерс (Holly Londers) заявила, что в течение года (до января 2021 года) посещала сайт Intel порядка десяти раз, и компания «использовала отслеживающее и записывающее ПО, а также ПО для “повторного воспроизведения сеанса” с целью перехвата ее взаимодействий с сайтом, в том числе кликов и движений мыши».
Иск был подан в соответствии с принятым в прошлом году законом штата Флорида «О безопасности коммуникаций» (Security of Communications Act).
Какое ПО для повторного воспроизведения сеанса имела в виду Лондерс, непонятно. Тем не менее, как выяснили журналисты The Register, поговорив с одним из участвующих в деле адвокатов, речь идет об аналитической платформе Clicktale, приобретенной компанией Contentsquare в 2019 году.
Если ввести адрес сайта Intel в web-сканер Blacklight от некоммерческой организации The Markup, то окажется , что на нем действительно используется скрипт Clicktale с функцией записи сеанса, способный отслеживать «движения мыши, клики, тапы, прокрутки и даже сетевую активность». При этом никаких технологий записи нажатий клавиш на клавиатуре сканер не обнаруживает. Также Blacklight затрудняется сообщить, каким образом Intel использует полученные данные.
Связанные с использованием скриптов для повторного воспроизведения сеанса риски обсуждались еще в 2018 году на конференции FTC PrivCon 2018, проводимой Федеральной торговой Комиссией США. Как сообщал Гюнеш Аджар (Gunes Acar), занимавший в то время должность исследователя в Центре политик в области информационных технологий (Center for Information Technology Policy, CITP) в Принстонском Университете, такие скрипты ничем не хуже любых других аналитических скриптов, если не считать web-формы. Существует риск того, что конфиденциальная информация, такая как адреса электронной почты, номера кредитных карт и пароли, будет захвачена скриптами, а их провайдеры зачастую не обеспечивают безопасность конфиденциальных данных.
Однако, как пояснил один из адвокатов, в деле Intel компания обвиняется не в использовании аналитического скрипта, а в том, что не сообщает об этом посетителям своего сайта. По его словам, ходатайство компании об отклонении дела, вероятнее всего, не будет удовлетворено судом, поскольку законодательство Флориды в области перехвата данных является мощным инструментом по защите прав потребителей.
