image

Populaire Nederlandse websites volgen bezoekers via fingerprinting

vrijdag 4 maart 2022, 11:54 door Redactie, 25 reacties

Tal van populaire Nederlandse websites maken gebruik van fingerprinting om hun bezoekers te kunnen volgen, zo stelt de Consumentenbond op basis van eigen onderzoek. Het gaat onder andere om banken, nieuwssites, streamingdiensten en webwinkels.

Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld om hen zo op internet te volgen. Doordat systemen van elkaar verschillen is het mogelijk om aan de hand van de gebruikte systeemconfiguratie een unieke fingerprint op te stellen en gebruikers ook zonder ip-adres of cookies te volgen.

De Consumentenbond onderzocht begin dit jaar via de Google Chrome-extensie CanvasFingerprintBlock honderd populaire websites. 34 procent maakt gebruik van fingerprinting, veel meer dan de twaalf procent bij de steekproef in 2018. "De meeste websites hebben de vingerafdruk al genomen voordat je er via het ‘cookie-OK’-menu mee hebt kunnen in stemmen. En ze doen het ook als je surft in de ‘privacy-modus’ van je browser", zegt onderzoeker Peter Kulche.

De websites die fingerprinting toepassen werden door de Consumentenbond benaderd. Zeventien daarvan reageerden. Ze stellen de techniek te gebruiken voor fraudebestrijding, scraping tegen te gaan en dos-aanvallen te voorkomen. De Telecomwet en AVG stellen dat fingerprinting alleen is toegestaan wanneer de bezoeker hiermee instemt. Alleen ing.nl, nu.nl en telegraaf.nl wachten met hun vingerafdruk totdat bezoekers akkoord geven voor cookies en andere technieken voor tracking. De anderen doen het zonder enige vorm van instemming.

Hoewel de websites die reageerden claimen de techniek voor hun eigen bescherming te gebruiken, lijkt dat niet altijd het geval te zijn. Zo passen abnamro.nl, ing.nl en rabobank.nl fingerprinting ook toe op de homepage. "Een flink deel van de fingerprintende websites is dus mogelijk in overtreding: ze gebruiken de techniek zonder een goede juridische ‘grondslag’", merkt Kulche op. De Consumentenbond heeft de onderzoeksresultaten met de Autoriteit Persoonsgegevens gedeeld.

Image

Reacties (25)
04-03-2022, 12:17 door Anoniem
Waarom doet signal.org in godsnaam aan fingerprinting?
04-03-2022, 12:23 door Anoniem
En dit verrast... wie?
04-03-2022, 12:28 door gradje71 - Bijgewerkt: 04-03-2022, 12:30
Ach ja. Waarom ook niet fingerprinten? Het WWW laat het toe, dus naaien zolang je mensen kan naaien.

Dus wat eigenlijk zou moeten gebeuren is OF een browser die veilig is ontwikkelen OF een subset van het WWW maken, maar beide bestaan niet natuurlijk, want ze moeten en zullen ons naaien.

Hiep hiep hoera!
04-03-2022, 12:58 door Anoniem
Wettelijk niet toegestaan, consequenties als je het toch doet?

G E E N.

Ik zou zeggen waarschuwen en anders domein naam in beslag nemen/blokkeren.
04-03-2022, 14:43 door Anoniem
Browser ontwikkelaars hebben ook boter op hun hoofd want al die informatie wordt mee gestuurd, je kan wel proberen een meer generieke useragent in the stellen via een addon maar nog steeds is er allerlei info over je hardware beschikbaar.
04-03-2022, 14:54 door Anoniem
Dus die slogan van sns.nl : "Bij ons draait het niet om geld. Het draait om jou" moeten we toch iets anders opvatten.
04-03-2022, 16:17 door Goeroeboeroe
Door Anoniem: Browser ontwikkelaars hebben ook boter op hun hoofd want al die informatie wordt mee gestuurd, je kan wel proberen een meer generieke useragent in the stellen via een addon maar nog steeds is er allerlei info over je hardware beschikbaar.
Toch is dat deels heel moeilijk anders te doen. Om een site goed weer te kunnen geven, moet de browser bijvoorbeeld de schermgrootte doorgeven. Om te bepalen of een font moet worden gedownload of niet, moet de browser informatie over fonts doorgeven. Enz.
Je zou fake-informatie kunnen doorgeven, maar als je bijvoorbeeld de schermgrootte van 'n tablet doorgeeft op 'n mobieltje, gaat dat niet echt lekker lezen en zo.
Het kan wel heel goed zijn dat er veel meer info wordt doorgegeven dan technisch nodig is, en dat zou in ieder geval moeten stoppen.
Overigens kun je bij het maken van 'n site heel veel dingen omzeilen, mogelijk zelfs alles. Alleen wordt er dan veel en veel te veel gedownload. Je zou bijvoorbeeld altijd fonts kunnen downloaden, om maar iets te noemen, zonder te kijken of ze al zijn geïnstalleerd. Maar dat levert een enorme toename van data op en 'n (veel) tragere site.
Ik zie niet een-twee-drie hoe het probleem met de privacy is op te lossen, zonder technische problemen op te roepen.
04-03-2022, 16:27 door Anoniem
Van die 34 hebben 2 mijn mailadres in het verleden gelekt; cameranu en de rabobank.
Bij de rabobank heb ik geprobeerd om uit te leggen dat een tracker uit de VS gebruiken, onverstandig is. De tegenvraag was of ik bang was dat iemand met mijn geld ervandoor zou gaan. Mij verbaast het totaal niet dat zij ook nog aan fingerprinting doen, ook daar is blijkbaar privacy van de klant totaal onbelangrijk.
04-03-2022, 16:30 door Anoniem
Door Anoniem: Waarom doet signal.org in godsnaam aan fingerprinting?
Weleens tijdens het gebruik van Signal een blik geworpen in jouw firewall? (en nee raad het gebruik van Signal niet af, maar dat data delen met o.a. Google is uiteraard onwenselijk)
04-03-2022, 16:59 door gradje71 - Bijgewerkt: 04-03-2022, 17:00
Door Goeroeboeroe:
Door Anoniem: Browser ontwikkelaars hebben ook boter op hun hoofd want al die informatie wordt mee gestuurd, je kan wel proberen een meer generieke useragent in the stellen via een addon maar nog steeds is er allerlei info over je hardware beschikbaar.
Toch is dat deels heel moeilijk anders te doen. Om een site goed weer te kunnen geven, moet de browser bijvoorbeeld de schermgrootte doorgeven. Om te bepalen of een font moet worden gedownload of niet, moet de browser informatie over fonts doorgeven. Enz.
Je zou fake-informatie kunnen doorgeven, maar als je bijvoorbeeld de schermgrootte van 'n tablet doorgeeft op 'n mobieltje, gaat dat niet echt lekker lezen en zo.
Het kan wel heel goed zijn dat er veel meer info wordt doorgegeven dan technisch nodig is, en dat zou in ieder geval moeten stoppen.
Overigens kun je bij het maken van 'n site heel veel dingen omzeilen, mogelijk zelfs alles. Alleen wordt er dan veel en veel te veel gedownload. Je zou bijvoorbeeld altijd fonts kunnen downloaden, om maar iets te noemen, zonder te kijken of ze al zijn geïnstalleerd. Maar dat levert een enorme toename van data op en 'n (veel) tragere site.
Ik zie niet een-twee-drie hoe het probleem met de privacy is op te lossen, zonder technische problemen op te roepen.

Waarom moet je de schermgrootte precies weergeven en de fonts downloaden? Zo is HTML nooit bedoeld. Als je alles precies weer wil geven, waarom dan een browser gebruiken? Waarom dan niet een applicatie schrijven? Maar applicaties maken ook heel vaak gebruik van defaults.
04-03-2022, 17:22 door Goeroeboeroe - Bijgewerkt: 04-03-2022, 18:07
Mijn hemel, wat 'n dom systeem. Je kunt ongemerkt vier keer posten. Verwijderd.
04-03-2022, 17:22 door Goeroeboeroe - Bijgewerkt: 04-03-2022, 18:07
Zie hierboven.
05-03-2022, 01:34 door Anoniem
Door Goeroeboeroe:
Door Anoniem: Browser ontwikkelaars hebben ook boter op hun hoofd want al die informatie wordt mee gestuurd, je kan wel proberen een meer generieke useragent in the stellen via een addon maar nog steeds is er allerlei info over je hardware beschikbaar.
Toch is dat deels heel moeilijk anders te doen. Om een site goed weer te kunnen geven, moet de browser bijvoorbeeld de schermgrootte doorgeven. Om te bepalen of een font moet worden gedownload of niet, moet de browser informatie over fonts doorgeven. Enz.
Je zou fake-informatie kunnen doorgeven, maar als je bijvoorbeeld de schermgrootte van 'n tablet doorgeeft op 'n mobieltje, gaat dat niet echt lekker lezen en zo.

Nee, zo werkt het meestal niet. Om een mobiele interface weer te geven, hoef je de grootte van het scherm niet te weten. Je maakt zowel een desktop en een mobiele interface, en zegt tegen de browser dat die de mobiele moet gebruiken als het scherm kleiner is dan X pixels. De browser zelf weet de grootte van het scherm, de website hoeft dat niet te weten. Hetzelfde met fonts, als website biedt je een font aan, de browser laadt die alleen als die nog niet aanwezig is.

Natuurlijk zijn er uitzonderingen, maar nodig is het absoluut niet.

Waar het wel voor gebruikt wordt is statistiek; hoeveel van mijn gebruikers gebruiken een mobiel.
05-03-2022, 09:14 door Anoniem
Door Anoniem: Van die 34 hebben 2 mijn mailadres in het verleden gelekt; cameranu en de rabobank.
Bij de rabobank heb ik geprobeerd om uit te leggen dat een tracker uit de VS gebruiken, onverstandig is. De tegenvraag was of ik bang was dat iemand met mijn geld ervandoor zou gaan. Mij verbaast het totaal niet dat zij ook nog aan fingerprinting doen, ook daar is blijkbaar privacy van de klant totaal onbelangrijk.
Ik denk dat die tegenvraag meer iets zei over degene die je toevallig aan de lijn kreeg dan over de Rabobank als bedrijf. Daarmee zeg ik niet dat het gebruik van trackers in orde is, alleen dat een dergelijke houding van een callcentermedewerker niet meteen het beleid van het bedrijf is.
05-03-2022, 09:45 door Anoniem
Ze stellen de techniek te gebruiken voor fraudebestrijding, scraping tegen te gaan en dos-aanvallen te voorkomen. De Telecomwet en AVG stellen dat fingerprinting alleen is toegestaan wanneer de bezoeker hiermee instemt.
Eerder in het artikel staat:
Via fingerprinting wordt er informatie over de systeemconfiguratie van internetgebruikers verzameld om hen zo op internet te volgen.
Zo gedefinieerd is niet alleen de techniek die maakt dat het fingerprinting is, maar ook het doel waarvoor die wordt in gezet: "om hen zo op het internet te volgen".

De AVG kent een gerechtvaardigd belang als grondslag voor gegevensverwerking, en ik denk dat bestrijding van fraude, scraping en ddos-aanvallen daar onder vallen. De telecomwet stelt in artikel 11.7a dat toegang is toegestaan als de gebruiker conform de AVG op de hoogte is gesteld én toestemming heeft gegeven.

Alleen: de telecomwet heeft het over toegang tot op een randapparaat opgeslagen informatie, en de definities in artikel 1.1 vertellen niet wat deze wet daar precies onder verstaat. Als het over computers gaat variëren de definities tot alles wat meer is dan het absolute minimum om de computer te laten draaien tot alles buiten de systeemkast. Vanuit telecomnetwerken geredeneerd zijn alle apparaten, inclusief computers, die op het netwerk worden aangesloten randapparaten. Aangezien het hier om de telecomwet gaat zou het wel eens om de laatste definitie kunnen gaan, maar de wet zelf is daar vaag over.

De telecomwet lijkt dus inderdaad heel streng te zijn. Het noemt wel twee uitzonderingen op die strengheid in lid 3 van artikel 11.7a:


3 Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:

a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren,

b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.
Het gebruik tegen fraude, scraping en ddos zou wel eens onder uitzondering b kunnen valen: het levert informatie op over de kwaliteit of effectiviteit van de geleverde dienst. Gevoeligheid voor de genoemde zaken zou ik daar namelijk wel toe rekenen.

Ik ben geen jurist en ik weet niet of ik dit goed zie, maar ik denk dat er inderdaad legitiem gebruik van de genoemde technieken mogelijk is, en ik zou het niet vreemd vinden als bijvoorbeeld een bank, juist omdat die een interessant doelwit vormt voor allerlei mispunten, daar ook gebruik van maakt.
05-03-2022, 10:13 door Anoniem
Dat van Buienradar verbaast me niets, gezien hun cookiestatement:

Waarom zit er in jullie cookie-wall geen keuzemogelijkheid?

Wij bieden geen keuzemogelijkheid voor cookie-instellingen aan, omdat we ervoor hebben gekozen onze domeinen (gedeeltelijk) gratis aan te bieden en daarom voor financiering afhankelijk zijn van advertentie inkomsten. Daarom is het niet mogelijk om gebruik te maken van onze diensten zonder toestemming te geven voor het plaatsen en verzamelen van cookies en soortgelijke technieken die wij ten behoeve van advertentiedoeleinden gebruiken en het privacy statement te accepteren. Wij willen benadrukken dat cookies geen invloed hebben op of je advertenties te zien krijgt, maar ervoor zorgen dat advertenties niet telkens worden herhaald en dat de advertenties zijn aangepast aan jouw voorkeuren.

Oftewel: de site is niet gratis, je betaalt met je data.
05-03-2022, 10:32 door Anoniem
Door Anoniem: Browser ontwikkelaars hebben ook boter op hun hoofd want al die informatie wordt mee gestuurd, je kan wel proberen een meer generieke useragent in the stellen via een addon maar nog steeds is er allerlei info over je hardware beschikbaar.

BrowserSpy.dk is the place where you can see how much information your browser reveals about you and your system.

https://browserspy.dk
05-03-2022, 13:41 door Anoniem
07-03-2022, 08:55 door Anoniem
Er zou een generieke wet moeten komen die alle vormen van profilering verbied, tenzij expliciet in de uitzonderingen van die wet beschreven. En daar dan een extreem hoge strafmaat aan hangen. Bv 10% van bruto jaaromzet, de directeuren 10 jaar opsluiten, of iets dergelijks.
07-03-2022, 09:27 door Anoniem
De bezoekers van de websites zitten er echt niet mee.
Ze gebruiken GOOGLE Chrome, en iedereen weet wat het verdienmodel van Google is.

Iedereen die het wel uitmaakt kan een andere browser gebruiken.
Bijvoorbeeld: https://www.mozilla.org/nl/firefox/features/block-fingerprinting
En Firefox zal vast niet de enige browser zijn die privacy waarborgt.
07-03-2022, 11:23 door Anoniem
Door Goeroeboeroe:
Door Anoniem: Browser ontwikkelaars hebben ook boter op hun hoofd want al die informatie wordt mee gestuurd, je kan wel proberen een meer generieke useragent in the stellen via een addon maar nog steeds is er allerlei info over je hardware beschikbaar.
Toch is dat deels heel moeilijk anders te doen. Om een site goed weer te kunnen geven, moet de browser bijvoorbeeld de schermgrootte doorgeven. Om te bepalen of een font moet worden gedownload of niet, moet de browser informatie over fonts doorgeven. Enz.
Je zou fake-informatie kunnen doorgeven, maar als je bijvoorbeeld de schermgrootte van 'n tablet doorgeeft op 'n mobieltje, gaat dat niet echt lekker lezen en zo.
Het kan wel heel goed zijn dat er veel meer info wordt doorgegeven dan technisch nodig is, en dat zou in ieder geval moeten stoppen.
Overigens kun je bij het maken van 'n site heel veel dingen omzeilen, mogelijk zelfs alles. Alleen wordt er dan veel en veel te veel gedownload. Je zou bijvoorbeeld altijd fonts kunnen downloaden, om maar iets te noemen, zonder te kijken of ze al zijn geïnstalleerd. Maar dat levert een enorme toename van data op en 'n (veel) tragere site.
Ik zie niet een-twee-drie hoe het probleem met de privacy is op te lossen, zonder technische problemen op te roepen.

Voor het weergeven op de juiste browser, hoef je geen fingerprinting heel nauwkeurig in te stellen en blijft je anoniem als 1 van de vele Firefox, Edge, Chrome gebruikers.
07-03-2022, 11:25 door PJW9779
Tjonge, de Consumentenbond!
Degenen die hun lot laten afhangen van stoute mensen verdienen niet beter.
Een beetje newbie gebruikt al een canvas-blocker.
07-03-2022, 15:17 door Anoniem
Door Anoniem: Scan website hier: https://themarkup.org/blacklight?url=
Als je nu.nl kiest, dan scanned hij de cookie keuze banner.. denk dat de tool wat door ontwikkeling nodig heeft
07-03-2022, 15:35 door PjgV
Ik heb deze even gedaan (voor de eigenaren van een LG-apparaat).
https://themarkup.org/blacklight?url=www.lgelectronics.com
Boeiend...
13-03-2022, 21:40 door Anoniem
Door Anoniem: Waarom doet signal.org in godsnaam aan fingerprinting?
Door Anoniem: Waarom doet signal.org in godsnaam aan fingerprinting?

Ik denk dat ze WhatsApp bedoelde.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.