Che cos’è un Session Replay Script e perché se ne parla per il caso Yandex

Tra le smentite e le cartelle contenenti presunti dati sensibili degli utenti comparse prima nel dark-web e ora anche su alcuni canali Telegram e blog, il caso di quel che sembra esser stato un data breach che ha colpito il colosso russo Yandex sta avendo dei riflessi inevitabili anche nel resto del mondo. Si parla, infatti, di circa 44 gb di dati trapelati e messi alla mercé di tutti. L’azienda, che ha sede a Mosca, ha negato l’ipotesi di un attacco hacker (e in questa direzione va anche l’assenza di una rivendicazione da parte di un singolo o di un collettivo di pirati informatici), ma diverse fonti hanno messo in evidenza come quanto accaduto tra la fine di gennaio e le prime settimane di febbraio 2023 si molto grave per la sicurezza informatica. In particolare, ci si è concentrati sull’utilizzo (non solo all’interno dei confini russi) del Session Replay Script, un tracker online in grado di monitorare le abitudini e i comportamenti degli utenti connessi a un determinato portale che ha integrato quel tool.

LEGGI ANCHE > Cosa sta succedendo ai dati del Google russo Yandex e qual è la posizione ufficiale dell’azienda

Il presunto data breach subìto da Yandex, il colosso informatico di Mosca che gestisce non solo il principale motore di ricerca russo ma anche una serie di applicazione e servizi (come l’app per le prenotazioni dei taxi), non è un problema esclusivamente del Cremlino. Come denunciato da Ermes – Intelligent Web Protection (azienda italiana che si occupa di cybersicurezza), infatti, moltissime piattaforme – soprattutto legate all’e-commerce, ma non solo – anche italiane utilizzano il cosiddetto Session Replay Script, una sorta di web tracker usato come strumento di marketing per raccogliere i dati sulla user experience di ogni singolo utente che si connette al portale che lo utilizza all’interno del codice di un sito web.

Session Replay Script, cosa c’entra con l’attacco a Yandex

Ma cos’è, tecnicamente, un Session Replay Script? Questo script – non solo quello sviluppato da Yandex (in Yandex Metrica), perché l’azienda russa non è l’unica ad averli immessi sul mercato come SaaS (Software as a Service) – monitora e raccoglie i dati di tutte le singole azioni compiute da un utente che sta visitando un determinato sito web che utilizza questo strumento di tracking “destinato” al marketing e alla profilazione. Di cosa parliamo?

• Sequenza dei tasti digitati da un utente all’interno di un portale;
• I click con il mouse effettuati dall’utente;
• I movimenti compiuti dal mouse dell’utente in una determinata pagina;
• Lo scorrimento su una pagina.

Tutte azioni che vengono sommate ad altri dati digitalmente sensibili: nome, cognome, indirizzo IP e tutto il resto delle informazioni che possono arrivare dall’iscrizione a un portale. Insomma, viene monitorata – a fini di marketing (quindi si tratta di uno strumento legale, ma un utente può evitare di esser monitorato attraverso appositi strumenti) – la user experience all’interno dei siti che hanno inserito nel loro codice sorgente il Session Replay Script.

Did you know that a lot of sites use session replay scripts (if misused / -configured, a sort of realtime visitor surveillance able to steal personal data and even full credentials) ?https://t.co/YAxWGE1DDz#PrivacyGone #Credentials#WebAnalyzer #SessionReplayScript pic.twitter.com/sBU1LvoAGX

— Freddy A. Lang (@DreamLabJU) March 26, 2018

Questo strumento, come gli altri web-tracker, sono nati come elementi strutturali per consentire a uno sviluppatore di monitorare le funzionalità del proprio sito attraverso le dinamiche del feedback immediato mediante l’esperienza di navigazione dei singolo utenti. Ovviamente, però, se configurati in modo malevolo (o se violati) questi strumenti possono diventare un vero e proprio cavallo di Troia per la fuga di dati.

Perché, dunque, è un rischio il data breach?

Tutti questi elementi, al netto della vicenda Yandex, rendono primaria la correlazione tra l’utilizzo di questi strumenti e le conseguenze di un attacco hacker o di una fuga di dati. Perché se un’azienda viene colpita – e non solo per un codice sorgente trapelato o fatto trapelare da terzi (anche interni, come denunciato dal colosso russo) – da un data breach (ovvero da una violazione dei dati personali), questi elementi rischiano di finire nelle mani sbagliate. Non tanto per quel che riguarda il macro-tema della sicurezza naturale, ma per quel che concerne le campagne di marketing aggressivo che spesso si tramutano in truffe digitali come il phishing. Per questo motivo il tracciamento in Internet andrebbe sempre evitato attraverso quegli “scudi” che il mercato mette a disposizione di aziende e utenti.