Omkring 315 danske hjemmesider optager alt, hvad du laver på dem. Det lader ejerne se din færden klik-for-klik rundt på hjemmesiden. Inklusiv hvad du skriver i tekstfelter, om du kommer ting i indkøbskurven uden at købe dem og i nogle tilfælde dine kreditkortinformationer.
»Det her er ikke bare tracking, men totalovervågning af alt, hvad du laver på det pågældende website. Jeg har meget svært ved at se, at der skulle være et legitimt formål, som det er rimeligt at indsamle så mange personoplysninger til,« siger Jesper Lund, formand for It-Politisk Forening til Version2.
Det er forskere på Center for Information Technology på det amerikanske Princeton universitet, som har scannet internettet for at finde ud af, hvor udbredt praksis med overvågningen er. I fagterminologien hedder det session recording, og på forskernes liste over hjemmesider med mulighed for session recording optræder omkring 315 danske .dk domæner.
Smil! Kameraet kører
Vi har vænnet os til, at alt vi gør online kan og vil blive tracket, men de færreste ved nok, hvordan det helt konkret ser ud fra trackerens side. Version2 har fået adgang til trackeren Hotjar, der bruges på omkring to tredjedele af de danske sider, som anvender session recording.
Vi satte en testside op med navigation, billeder og diverse tekstfelter, for at se hvad der blev optaget – og det gjorde næsten det hele. Når man gennemser det, som Hotjar trackeren optager, åbner den ellers HTTPS kryptererede og sikre online-platform et usikkert HTTP vindue med en afspiller i.

Når man trykker play kan man med en cursor og røde streger se, hvordan Version2’s journalist klikker og bladrer rundt på siden. I tekstfelterne på siden kan alt tekst ses efterhånden som det skrives ind, inklusiv informationer på et ugyldigt kreditkort, så længe de indtastes med mellemrum.
Alt indhold på siden kan ses i optagelsen, så dating og pornosiderne på listen kan potentielt se, hvad brugeren var interesseret i, og Cartoon Network, hvilke tegnefilm og spil, brugeren ser og spiller.
Brugeren oplyses ikke om, at kameraet ruller. Det kører i baggrunden, og man skal derfor dykke ned i cookie-banneret i bunden af siden, for at se hvad en hjemmeside tracker.
Her vil man som regel blive mødt med en sætning i retning af "vi indsamler information om dit brug af siden," men Version2 har ikke fundet nogen sider, der specifikt oplyser, at de anvender session recording.
»Det er specielt et problem, når det her sker uden et eksplicit samtykke. Reelt er der ingen forskel mellem disse session recording scripts og keyloggers,« siger Jesper Lund.
Fra utroskabssider til Det Kongelige Teater
Det er ualmindeligt nemt at installere session recording på en side. Man vælger en tracking udbyder, der understøtter det, kopierer et par linjers javascript direkte ind i toppen af siden, og så kan man ellers bare filme derudad.
Princeton forskerne har fundet frem til deres liste ved at scanne internettet for kode, der bruges af tracking udbydere som tilbyder session recording, og den danske ende af listen omfatter alt fra utrosskabs-datingsiden Victoria Milan til Cartoon Network, Det Kongelige Teater og Ingeniørforeningen IDA.
Optagelserne bruges, ifølge de firmaer Version2 har spurgt, til at finde ud af, hvordan siderne bruges, og dermed hvordan den kan optimeres for at forbedre brugeroplevelsen.
»Vi har brugt hotjar i perioder som en slags automatisk og relativ billig form for brugertest. dvs. til at se, hvordan brugerne benytter dele af vores hjemmeside, så vi kan fange evt. fejl og finde steder hvor vi kan forbedre navigationen og/eller kommunikationen på siderne,« skriver Peter Schaufuss, web manager hos Det Kongelige Teater i en mail til Version2.
Det svar går igen hos IDA, der ejer Mediehuset Ingeniøren som Version2 er en del af.
»Vi bruger værktøjet for at forbedre brugernes oplevelse. Vi noterer ikke, hvem der bevæger sig rundt, men tager kun anonyme oplysninger om, hvor mange gange de har været på besøg, og om de bruger tablet, smartphone eller pc,« forklarer IDA-formand Thomas Damkjær Petersen.
Scriptet er også fundet på KMDs hjemmeside, som forklarer at de brugte funktionen i en test-periode i august, men ikke har fået fjernet scriptet, selvom de ikke aktivt bruger det for tiden.
Anonymt – eller hvad?
Hotjar samler også information om hvilken browser og styresystem, siden besøges fra, samt størrelsen på vinduet og hvor længe brugeren er der. Alt data lagres på Hotjars servere i Irland og tilgås via Hotjars webplatform.
Firmaet advarer om, at hvis siden ikke er HTTPS krypteret, så overføres optagelserne ukryptereret til deres servere, og kan dermed opsnappes af hackere.
Selvom Hotjar tildeler alle optagelserne et anonymt id, så kan navne og personlige oplysninger såsom CPR-numre ses på optagelserne, hvis brugeren skriver dem, eller oplysningerne bliver vist på siden efter man f.eks. har logget ind.
Princeton forskerne stiller også spørgsmålstegn til tracking-udbydernes evne til at sikre data. Især fordi vinduet, hvor man afspiller Hotjar optagelser, er ukrypteret og derfor potentielt kan opsnappes af hackere.
Ønsker du ikke at blive filmet, når du browser, så skal du installere en af de mange tracking-blockere, såsom Ghostery og Easylist, der kan blokkere for f.eks. Hotjar. Du kan downloade listen over danske hjemmesider, som har installeret session recording kode her.