Twee jaar geleden lanceerde internetbedrijf Cloudflare een eigen gratis dns-dienst met de naam 1.1.1.1 die claimde de privacy van gebruikers voorop te stellen. Cloudflare heeft accountancybedrijf KPMG de gemaakte privacyclaims laten onderzoeken en het onderzoeksrapport is nu openbaar gemaakt (pdf).

Het domain name system (dns) vertaalt onder andere domeinnamen naar ip-adressen. Dns-verzoeken worden door een dns-server verstuurd en bevatten informatie over de op te vragen website. De meeste internetgebruikers maken gebruik van de dns-server van hun internetprovider. Volgens Cloudflare is dit een privacyprobleem omdat providers via de dns-verzoeken precies kunnen zien welke websites hun gebruikers bezoeken.

Het internetbedrijf stelt dat de eigen dns-dienst 1.1.1.1 de privacy van gebruikers respecteert. Zo zegt de dienst geen ip-adressen van gebruikers op te slaan en worden alle logbestanden binnen 24 uur verwijderd. Ook zou er niet worden bijgehouden welke websites individuen bezoeken en wordt er geen persoonlijke data verkocht. "We wisten dat er sceptici zouden zijn. Veel mensen denken dat als ze niet voor een product betalen ze het product zijn. We vinden dat dit niet zo hoeft te zijn. Daarom hebben we een accountancybedrijf ingeschakeld om de privacybeloftes van onze 1.1.1.1-server te onderzoeken", zegt John Graham-Cumming van Cloudflare in een blogposting.

Het onderzoeksrapport van KPMG laat weten dat de dns-dienst van 1 februari 2019 tot 31 oktober 2019 aan de gestelde privacybeloftes voldeed. Zo werden dns-gegevens geanonimiseerd en worden logbestanden verwijderd. Dit gebeurt echter binnen 25 uur en niet 24 uur zoals Cloudflare aangaf. Cloudflare erkent verder dat tijdens het onderzoek werd ontdekt dat routers van het bedrijf 0,05 procent van alle ontvangen verzoeken blijken op te slaan, waaronder het ip-adres van gebruikers.

In een verklaring stelt het internetbedrijf dat dit voor al het verkeer wordt gedaan dat Cloudflare verwerkt. De tijdelijk opgeslagen gegevens worden gebruikt voor het verhelpen van problemen en voorkomen van dos-aanvallen. Daarop heeft Cloudflare besloten om de privacybelofte aan te passen zodat de opslag van deze gegevens wordt vermeld.