CBS: bijna zeventig procent online platformen verzamelt gebruikersgegevens
Bijna zeventig procent van de Nederlandse online platformen verzamelde vorig jaar gegevens van gebruikers, zo stelt het Centraal Bureau voor de Statistiek (CBS). Het statistiekenbureau omschrijft online platformen als websites of apps die bemiddelen tussen afnemers en aanbieders van goederen, diensten of informatie. Bij 82 procent van de online platformen die gebruikersgegevens verzamelt is op de website terug te vinden welke gegevens precies worden verzameld. Twaalf procent vermeldt gedeeltelijk om welke gegevens het gaat en zeven procent laat helemaal niet weten welke gegevens worden verzameld.
Online platformen die zich richten op bemiddeling in diensten verzamelen vaker gebruikersgegevens (76 procent) dan platformen die zich richten op communicatie (66 procent), goederen (66 procent) of informatie (61 procent). Platformen die zich alleen richten op bedrijven verzamelen relatief weinig gebruikersgegevens (56 procent). Verder stelt het CBS dat bijna één op de drie online platformen in Nederland vorig jaar van algoritmen gebruikmaakte.
68 procent van de platformen gebruikte algoritmen om gebruikers van het platform te koppelen, de zogenaamde matching. Voor de gebruikers van het platform is niet altijd duidelijk hoe dit werkt en hoe deze matching gedaan wordt, zo stelt het statistiekenbureau. 45 procent van de platformen geeft aan dat op de website is te vinden uit welke beslisregels het algoritme bestaat, 55 procent doet dat niet.
Er bestaat geen compleet register van alle online platformen in Nederland. "Iedereen kan een website starten, zonder zich ergens officieel te registreren als platform", aldus het CBS. Om te bepalen welke online platformen er zijn in Nederland, heeft het CBS gebruikgemaakt van webscraping, modellering en machine learning. Dit leverde een lijst met bedrijven op. Uiteindelijk zijn er ongeveer 4650 bedrijven benaderd om een enquête over dataverzameling in te vullen. Dit werd door elfhonderd online platformen gedaan.
Of heeft Aleid weer een fantastische reden om dat (weer) niet te doen?
Vaak gaat het bij die third party sites om diensten die handig maar kostenloos of zelfs lucratief zijn voor first party sites. Rara wie betaalt dat waarmee. En omdat elk van die third party sites benaderd wordt bij het bezoeken van verschillende first party sites, is mensen profileren een peuleschil voor hen.
https://www.cbs.nl/ laat jouw browser in elk geval Javascript ophalen en uitvoeren vanaf:
• cdn.cbs.nl [1]
• cdnjs.cloudflare.com
• cdn.jsdelivr.net
• cbs.containers.piwik.pro
• w.usabilla.com
Bijvoorbeeld die laatste vier worden door zeer veel websites gebruikt. Cijfers over wat uitsluitend first party sites aan informatie van bezoekers verzamelen, zijn op z'n minst nietszeggend, maar feitelijk misleidend.
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
cdn. sites zijn altijd lager in security, omdat die alleen domme content verspreiden.
TheYOSH
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
cdn. sites zijn altijd lager in security, omdat die alleen domme content verspreiden.
TheYOSH
Belangrijker: de nameserver ondersteunt geen DNSSEC en voor de routering wordt RPKI niet gesupport. Als een aanvaller onterecht een certificaat weet te verkrijgen voor cdn.cbs.nl, dan kan die nepsite content naar keuze naar bezoekers van www.cbs.nl sturen.
Nb. zolang ALLE links op www.cbs.nl naar cdn.cbs.nl met https:// beginnen, is HSTS irrelevant. Nb. het zetten van een HSTS-header is altijd verstandig, voor het geval er ergens op www.cbs.nl nog een verwijzing naar http://cdn.cbs.nl over het hoofd gezien is.
Maar er is meer niet in orde op cdn.cbs.nl (ondersteunde ciphers, DH-parameters, X-Content-Type-Options, CSP, security.txt, en al genoemd: DNSSEC, RPKI); dat kan gewoon allemaal beter en is relevant.
Zelfs als een "CDN" alleen maar domme statische content (zoals plaatjes) levert, zijn er allerlei aanvalsscenario's denkbaar voor een nepsite met dezelfde domeinnaam en/of een geslaagde AitM-aanval. In dit specifieke geval vraagt www.cbs.nl om Javascript vanaf cdn.cbs.nl, dus kun je er donder op zeggen dat een eventuele CSP op www.cbs.nl de uitvoering van JS vanaf cdn.cbs.nl toestaat. M.a.w., als de beveiliging van cdn.cbs.nl minder is dan van www.cbs.nl, dan is cdn.cbs.nl simpelweg de zwakste schakel.
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
cdn. sites zijn altijd lager in security, omdat die alleen domme content verspreiden.
TheYOSH
Belangrijker: de nameserver ondersteunt geen DNSSEC en voor de routering wordt RPKI niet gesupport. Als een aanvaller onterecht een certificaat weet te verkrijgen voor cdn.cbs.nl, dan kan die nepsite content naar keuze naar bezoekers van www.cbs.nl sturen.
Nb. zolang ALLE links op www.cbs.nl naar cdn.cbs.nl met https:// beginnen, is HSTS irrelevant. Nb. het zetten van een HSTS-header is altijd verstandig, voor het geval er ergens op www.cbs.nl nog een verwijzing naar http://cdn.cbs.nl over het hoofd gezien is.
Maar er is meer niet in orde op cdn.cbs.nl (ondersteunde ciphers, DH-parameters, X-Content-Type-Options, CSP, security.txt, en al genoemd: DNSSEC, RPKI); dat kan gewoon allemaal beter en is relevant.
Zelfs als een "CDN" alleen maar domme statische content (zoals plaatjes) levert, zijn er allerlei aanvalsscenario's denkbaar voor een nepsite met dezelfde domeinnaam en/of een geslaagde AitM-aanval. In dit specifieke geval vraagt www.cbs.nl om Javascript vanaf cdn.cbs.nl, dus kun je er donder op zeggen dat een eventuele CSP op www.cbs.nl de uitvoering van JS vanaf cdn.cbs.nl toestaat. M.a.w., als de beveiliging van cdn.cbs.nl minder is dan van www.cbs.nl, dan is cdn.cbs.nl simpelweg de zwakste schakel.
https://www.cbs.nl/ laat jouw browser in elk geval Javascript ophalen en uitvoeren vanaf:
• cdn.cbs.nl [1]
• cdnjs.cloudflare.com
• cdn.jsdelivr.net
• cbs.containers.piwik.pro
• w.usabilla.com
Bijvoorbeeld die laatste vier worden door zeer veel websites gebruikt. Cijfers over wat uitsluitend first party sites aan informatie van bezoekers verzamelen, zijn op z'n minst nietszeggend, maar feitelijk misleidend.
"Bij 82 procent van de online platformen die gebruikersgegevens verzamelt is op de website terug te vinden welke gegevens precies worden verzameld." is dan ook klinkklare onzin. Want zoals het CBS het dus doet geldt voor 99 procent van de websites, dat het delen van data/persoonsgegevens met derde partijen niet terug te vinden is in hun privacystatement.
Wanneer je hier dan naar vraagt welke gegevens zij exact delen en hoe je deze weer kunt laten verwijderen blijft het standaard bijna altijd angstvallig stil. In een zeldzaam geval krijg je de drogreden terug: 'wij vinden privacy wel degelijk belangrijk'.
Zie het CBS artikel zelf: 'Online platformen zijn websites of apps die bemiddelen tussen afnemers en aanbieders van goederen, diensten of informatie.'
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.