Privacy - Wat niemand over je mag weten

Vodafone Nederland gebruikt ook Perma Cookie killing users privacy

03-11-2014, 09:05 door Anoniem, 19 reacties
Op onze blog http://blog.omerta.nl/2014/11/03/vodafone-europe-netherlands-allso-using-permacookie-to-track-users/ laten wij zien dat Vodafone nederland ook perma cookies gebruikt.
Reacties (19)
03-11-2014, 11:59 door Anoniem
Over anti privacy gesproken.

Als je met 'je' website gebruikt maakt van Clouflare diensten krijgen Torbrowser gebruikers dit voor hun kiezen,

- verplicht eerst cookies toestaan
- verplicht javascripts activeren (NoScript veiligheid verlagen)
- verplicht diverse google 'services' toestaan (en cloudflare natuurlijk)
- verplicht onleesbare captcha's proberen in te voeren wat meestal wel lukt na een keer of twee drie.

Maar dit zou allemaal niet moeten hoeven.
Omdat het onderwerp over privacy gaat werk ik zeker niet mee.
Jammer, deel van je doelgroep / lezerskans gemist.

De melding
Please enable cookies.

One more step

Please complete the security check to access blog.omerta.nl

Enter above text : XXXXX
Enter confirmation code after solving challenge above : XXXXX

Leave a message for the site owner? (100 characters left) :

XXXXX


Why do I have to complete a CAPTCHA?

Completing the CAPTCHA proves you are a human and gives you temporary access to the web property.
What can I do to prevent this in the future?

If you are on a personal connection, like at home, you can run an anti-virus scan on your device to make sure it is not infected with malware.

If you are at an office or shared network, you can ask the network administrator to run a scan across the network looking for misconfigured or infected devices.

CloudFlare Ray ID: XXXXX • Your IP: XXXXX • Performance & security by CloudFlare


Zoeken naar (+ mogelijke cache in search engines) :

"vodafone europe netherlands allso using permacookie to track users"

Because there are not enough results that match your query, we are showing results without quotes.
(quotje met of zonder maakt niet uit)

3 resultaten maar geen blog, maar wel ook interessant Verizon en de Perma cookie

- https://privacyassociation.org/news/europe-data-protection-digest/
verwijst naar
https://privacyassociation.org/news/a/the-scoop-on-permacookies-adnauseam-aims-to-turn-ad-blocking-into-protest/
verwijst naar
http://www.forbes.com/sites/kashmirhill/2014/10/29/the-privacy-lowdown-on-verizon-and-atts-permacookies/

- http://stopmakingsense.org/category/science-technology/mobile-phones/
verwijst naar
http://stopmakingsense.org/2014/10/27/verizons-perma-cookie-is-a-privacy-killing-machine/
verwijst naar
http://www.wired.com/2014/10/verizons-perma-cookie/

->>>> http://stopmakingsense.org/2013/08/03/
http://stopmakingsense.org/2013/08/03/bt-and-vodafone-among-telecoms-companies-passing-details-to-gchq/

BT and Vodafone among telecoms companies passing details to GCHQ


Ideetje om jullie site op een andere manier te laten functioneren (exit cloudflare) gezien de interesse in het privacy onderwerp ?

Privacy browser download om zelf te testen : https://www.torproject.org/
03-11-2014, 13:08 door Dozer72 - Bijgewerkt: 03-11-2014, 13:22
tja als dit word bevestigd dan baal ik ontzettend en vraag ik me af of ik hier iets zelf aan kan doen behalve naar een andere provider overstappen. Heb net de vraag gesteld aan Vodafone aangezien ik mijn tracking code heb gevonden.

http://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users#
03-11-2014, 13:16 door Anoniem
Door Grizzly: tja als dit word bevestigd dan baal ik ontzettend en vraag ik me af of ik hier iets zelf aan kan doen behalve naar een andere provider overstappen.
VPN
03-11-2014, 13:36 door Preddie - Bijgewerkt: 03-11-2014, 14:06
Zojuist even een test gedraaid met behulp van de check op de website www.lessonslearned.org/sniff of deze website http://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users#


Het lijkt er inderdaad op dat Vodafone ongevraagd mijn interrnet requests manipuleert en een uniek string toevoegt. Dit is zeer onwenselijk en lijkt me iets dat in de voorwaarde dient te staan. Iemand hier als naar opzoek geweest ?

Ik heb tevens dezelfde check uitgevoerd met een verbinding van KPN en bij beide sites zie ik dat hier een perma cookies worden mee gestuurd. (niet gecheckt met een sniffer)

Als dit werkelijke door providers wordt verstuurd, zie ik vrijwel geen mogelijkheden voor gebruikers om zich te beschermen tegen deze ongevraagde vorm van spionage door de telecom provider. Het enige dat ik me zou kunnen indenken, is dat je via een proxy/VPN gaat werken deze string (Broadcast UID) uit de requests filtert ...... mogelijk hebben andere nog creatieve ideeën?

In elk geval lijkt me een klacht richting Vodafone op z'n plaats

UPDATE:

Binnen de voorwaarde van Vodafone treft ik het volgende aan omtrent ASID (Anonymous Subscriber Identity) ;

Vodafone Privacy Statment, Paragraaf 3 (Versie september 2011)
Als u surft op het mobiele internet wordt door Vodafone tijdens de internetsessie de zogenaamde ASID meegegeven. Dit is een unieke alfanumerieke code, vergelijkbaar met het IP-adres van uw computer, die bevordert dat de mobiele content dat de mobiele content provider op een veilige manier u als bezoeker herkent en beter van dienst kan zijn.

Feitelijke zeggen ze; Wij voegen een uniek nummertje (ongevraagd) toe aan je internetsessie zodat elke website jou kan identificeren en dus volgen

Reeds eerder besproken in:

https://www.security.nl/posting/27126/Juridische+vraag%3A+T-Mobile+stuurt+anonieme+code+mee

Bij T-mobile schijn je je af te kunnen melden, OPT OUT ("ID Uit" te SMS'en naar 1310)
Bron: http://randysimons.nl/113,overige/146,mobiele-privacy/

Bij Vodafone schijn je het ASID niet uit te kunnen zetten. De verwerking van het ASID is door Vodafone niet aangemeld bij het CBP en daarmee in strijd met de wet;
https://www.collegebeschermingpersoonsgegevens.nl/asp/ORDetail.asp?moid=85848e888480
(Als iemand anders wel een registratie van Vodafone heeft gevonden waarin het ASID of de Perma Cookies wel heeft aangemeld, dan graag toevoegen aan het topic)

Echter beschrijft dit het gebruik van ASID en niet Perma Cookie, zover nog niks gevonden omtrent Perma Cookies
03-11-2014, 13:38 door Anoniem
Hallo.... hebben we zitten slapen?
De x-vf-acr header zit al zeker sinds 2012 in het http verkeer van Vodafone en is een opt-out 'service' van Vodafone.
Wat er precies in staat is nog steeds niet helemaal duidelijk. Het lijkt een base64 encoded stuk data die elke request weer anders is. Zelfs als je alleen maar de pagina refreshed. Het lijkt er dus op dat er een tijdfactor in de data zit.
03-11-2014, 14:20 door Preddie
Door Anoniem: Hallo.... hebben we zitten slapen?
De x-vf-acr header zit al zeker sinds 2012 in het http verkeer van Vodafone en is een opt-out 'service' van Vodafone.
Wat er precies in staat is nog steeds niet helemaal duidelijk. Het lijkt een base64 encoded stuk data die elke request weer anders is. Zelfs als je alleen maar de pagina refreshed. Het lijkt er dus op dat er een tijdfactor in de data zit.

Geen idee, maar als het er al jaren inzit dan is het toch best wel apart dat er nu zoveel aandacht aan wordt geschonken. Ik ben zeer geïnteresseerd in de mogelijkheid om die uit te schakelen, kan je ons verblijden met een link naar de opt-out mogelijkheid bij Vodafone?

Afgezien lijkt het me; A, zeer onwenselijk dat Vodafone wijzigingen doet in jou aanvragen tussen jou apparaat en doelstation, B in overtreding met de wet gezien de CBP registratie, C dat Vodafone hier (ongevraagd en ongewenst) meer doet dan alleen telecom provider spelen.
03-11-2014, 16:43 door Dozer72
@anoniem

ik gebruik disconnectme dus vpn en toch komt die string tevoorschijn bij het test programma
03-11-2014, 16:50 door Anoniem
Door Grizzly: @anoniem

ik gebruik disconnectme dus vpn en toch komt die string tevoorschijn bij het test programma
??? Da's toch helemaal geen VPN, maar meer een soort veredelde NotScript?

Als je hier met een VPN ook nog last van hebt, wil ik dat GRAAG weten!
03-11-2014, 19:59 door Dozer72
Disconnect wireless zegt toch echt dat ze gebruik maakt van VPN.
Telefoon herstart en "Disconnect Wireless uit gelaten en de string word verstuurd.

Nu "Disconnect Wireless"aangezet en de test nogmaals gedaan en de string word niet verstuurd.

Zal zijn dat IK iets fout heb gedaan sorry voor als ik voor opschudding zorgde.
03-11-2014, 20:11 door Anoniem
Jongens toch jullie slaan wel heel erg door in het privacy gebeuren, volledig anoniem internetten bestaat niet.
06-11-2014, 11:25 door Anoniem
8 feb 2012: http://www.utnieuws.nl/nieuws/57263/informaticastudent_vodafone_omzeilt_cookiewet
8 feb 2012: http://over.vodafone.nl/nieuwscentrum/nieuws/vodafone-reactie-op-gebruik-anonymous-customer-reference


Veel plezier
06-11-2014, 12:20 door Preddie
Door Anoniem: Jongens toch jullie slaan wel heel erg door in het privacy gebeuren, volledig anoniem internetten bestaat niet.

denk het eigenlijk niet. Overigens kun je het ook andersom stellen, organisaties slaan door in de drift om gegevens te verzamelen. Daarnaast gebeurt het vrijwel zonder dat de een klant dit weet

Door Anoniem: 8 feb 2012: http://www.utnieuws.nl/nieuws/57263/informaticastudent_vodafone_omzeilt_cookiewet
8 feb 2012: http://over.vodafone.nl/nieuwscentrum/nieuws/vodafone-reactie-op-gebruik-anonymous-customer-reference


Veel plezier

Bedankt voor de link! is even contact leggen met vodafone om ACR uit te laten schakelen, beetje belachelijk dat die OPT-OUT is ....
06-11-2014, 15:32 door Reinder
Ik heb het zojuist gedaan, voornamelijk om te zien of het zonder problemen gaat, en ik kan bevestigen dat het tamelijk eenvoudig is. Bel vodafone op 1201, kies optie 4 voor overige vragen, en zeg tegen de medewerker dat je ACR wilt uitschakelen. Die vraagt vervolgens ter controle om je nummer en (ik neem aan alleen bij abo's) je adres, en schakelt het vervolgens uit.

Alhoewel afmelden dus tamelijk eenvoudig is ben ik het eens met de stelling dat deze "service" opt-in zou moeten zijn.
06-11-2014, 16:22 door Anoniem
FYI; https://www.eff.org/deeplinks/2014/11/verizon-x-uidh
06-11-2014, 16:23 door fvandillen
Met alle respect. Omerta Information Security, het bedrijf van Remo Hardeman. Altijd schreeuwerige titels, moord en brand schreewen om op die manier bedrijven overstag te krijgen om zijn diensten af te nemen.

Berichten zoals degene die in de eerste post gelinkt wordt zou ik persoonlijk met een korreltje zout nemen. Is allemaal aangedikt vanuit een commercieel oogpunt.
06-11-2014, 16:29 door Preddie - Bijgewerkt: 06-11-2014, 16:34
Door fvandillen: Met alle respect. Omerta Information Security, het bedrijf van Remo Hardeman. Altijd schreeuwerige titels, moord en brand schreewen om op die manier bedrijven overstag te krijgen om zijn diensten af te nemen.

Berichten zoals degene die in de eerste post gelinkt wordt zou ik persoonlijk met een korreltje zout nemen. Is allemaal aangedikt vanuit een commercieel oogpunt.

Inmiddels hebben een aantal mensen toch zeer sommige aspecten lichtelijk onderzocht, de aanwezigheid van o.a. het ACR is bevestigd maar wat zouden we dan precies met een korreltje zout moeten nemen volgens u ?

@reinder heb ik vandaag ook geprobeerd maar het schijn elke keer "bijzonder" druk te zijn ;) heel apart want dat is het schijnbaar altijd als ik bel. Zo "bijzonder" is de drukte dus niet meer ;)
10-11-2014, 11:21 door Reinder
@Predjuh:
Ik weet niet wat ik daarop moet zeggen. Ik heb het afgelopen jaar drie keer met ze gebeld, en alle drie de keren kreeg ik binnen een seconde of 10 na het maken van een keuze in het menu iemand aan de lijn. Bel je misschien tijdens de lunchpauze, of tijdens etenstijd?
10-11-2014, 11:59 door Preddie - Bijgewerkt: 10-11-2014, 12:05
Door Reinder: @Predjuh:
Ik weet niet wat ik daarop moet zeggen. Ik heb het afgelopen jaar drie keer met ze gebeld, en alle drie de keren kreeg ik binnen een seconde of 10 na het maken van een keuze in het menu iemand aan de lijn. Bel je misschien tijdens de lunchpauze, of tijdens etenstijd?

Ben in elk geval blij om te horen dat niet iedereen in een eindeloze wachtrij beland, we gaan het deze week gewoon weer een aantal keer proberen. Meestal probeer ik de pauze periode te vermijden, ook voor 9 uur bellen of na 17uur is ook niet aan te raden :). Ik heb er echter vertrouwen in dat het gaat lukken. Immers, als het jou gelukt is, moet het mij ook lukken ! ;)
31-12-2014, 20:45 door Anoniem
Zojuist naar T-Mobile (pre-paid) de sms gestuurd. Tekst: ID uit naar nummer 1310. Antwoord: "deze dienst is niet langer in gebruik".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.