小心你的網站上第三方插件資料洩露風險

HKCERT 留意到有資訊保安研究團隊發表關於「會話重演」（session replay）的研究，指出多個網站的第三方插件收集用戶活動及資料，當中包括香港網站。這些第三方插件通常由服務供應商如市場推廣或廣告公司提供，作為用戶分析及市場推廣之用。

該研究發現用戶活動及敏感資料包括密碼及信用卡資料會被這些第三方插件收集，甚至傳送回服務商的伺服器。如果你的公司於網站安裝了這些插件，我們建議你檢查及了解這些插件的用途及所收集的數據種類。若果因為這些插件或服務商被入侵引致你的客戶敏感資料外洩，亦會影響你的公司聲譽及可能引起訴訟。

建議：

1. 檢查網站內第三方插件的功能及其收集何種數據。
2. 避免將第三方插件用於收集敏感資料如密碼或信用卡資料，並留意避免為其他人士收集不必要的敏感資料。
3. 確保第三方插件採用 HTTPS 傳送數據，尤其你的網站亦已採用了 HTTPS。

參考：

1. No boundaries: Exfiltration of personal data by session-replay scripts
2. Over 400 of the World's Most Popular Websites Record Your Every Keystroke, Princeton Researchers Find
3. Keystroke recording scripts found running on numerous Hong Kong websites, say researchers