Banken en webshops gebruiken browser-fingerprinting zonder toestemming van gebruikers
Verschillende Nederlandse banken en webshops maken gebruik van browser-fingerprinting zonder dat gebruikers hier toestemming voor hebben gegeven, zo meldt De Telegraaf op basis van eigen onderzoek. Via de technologie is het mogelijk om gebruikers online te volgen, maar de bedrijven stellen dat ze het voor het bestrijden en voorkomen van fraude toepassen.
Bij browser-fingerprinting wordt een digitale identiteit van een gebruiker gecreëerd door allerlei details over het systeem van de gebruiker te verzamelen. Denk hierbij aan de ingestelde tijdzone, versie van het OS en de browser, geïnstalleerde plug-ins en hardwarematige kenmerken. Hierdoor ontstaat een soort vingerafdruk waarmee gebruikers kunnen worden geïdentificeerd wanneer zij een website bezoeken, ook als zij een nieuwe browsersessie starten en zonder het gebruik van cookies.
De Telegraaf stelt op basis van eigen onderzoek dat ABN Amro, AliExpress, Amazon. Bol, De Bijenkorf, H&M, Ikea, Marktplaats, Rabobank Vinted, Wehkamp en Zalando browser-fingerprinting toepassen, zonder dat gebruikers hiervoor toestemming hebben gegeven. ABN Amro, Bol.com, H&M, Marktplaats, Rabobank, Wehkamp en Zalando stellen tegenover de krant dat ze inderdaad browser-fingerprinting toepassen. De bedrijven stellen dat dit niet wordt gedaan om gebruikers te volgen, maar om fraude te detecteren en tegen te gaan.
"Dit is een privacyschendende techniek", zo laat de Consumentenbond tegenover De Telegraaf weten. "Het levert ongevraagd een ’kenteken’ op dat kan worden gebruikt om je internetgedrag te volgen." Volgens privacyjurist Charlotte Meindersma leidt fingerprinting naar een specifiek persoon en daarmee persoonsgegevens. "Dat ze dat gebruiken, zou in de privacyverklaring moeten staan. Als dat niet gebeurt, is dat een overtreding van de AVG."
Marktplaats laat in een verklaring weten dat het inderdaad browser-fingerprinting zonder toestemming van gebruikers toepast. Dat doet de website naar eigen zeggen op basis van het gerechtvaardigd belang om het platform veilig te houden voor gebruikers. Rabobank zegt dat het fingerprinting toepast om mensen van bots te onderscheiden. "Fingerprinting wordt niet gebruikt voor het in kaart brengen van het bezoekersgedrag, het verrijken van klantprofielen en/of voor marketingdoeleinden."
Organisaties die fingerprinting gebruiken om bezoekers te tracken moeten bezoeken daarover informeren, aldus de Autoriteit Persoonsgegevens. "Daarnaast moet een bedrijf een grondslag hebben voor het verwerken van persoonsgegevens. Bij volgtechnieken op het internet betekent dat vrijwel altijd dat dat alleen mag als de websitebezoeker daarvoor toestemming heeft gegeven."
Press X to doubt. Dat is hetzelfde als grapperhaus die zegt dat encryptie niet moet worden afgeschaft vanwege privacy, maar om criminaliteit te bestrijden.
https://www.consumentenbond.nl/internet-privacy/browser-fingerprinting
Even configureren, en klaar is kees.
Daarnaast zie ik ook regelmatig dat ik soms nog voor cookie banners of na het kiezen dat ik geen cookies wil nog heel wat verbindingen naar google en andere privacyschenders zie gaan.
Maarja, ze willen in plaats daarvan chatcontrole en ze hebben al een sleepwet, een beetje de omgeleerde wereld waarin de wet de crimineel is geworden.
Ben benieuwd hoeveel fraude de banken en webwinkels doormiddel van fingerprinting weten op te sporen en tegen te houden.
Dat zou toch wel geregistreerd moeten worden. Krijgen wij dan ook te horen wat deze vorm van spionage oplevert?
Want over welke fraude hebben ze het dan precies? En laten ze dan eens een paar voorbeelden geven?
Ik vertrouw gewoon niemand meer in Cyber Space...
Ik kan er verder ook niets aan doen. Algoritmes die Algoritme dingen doen. Twitch wordt sowieso verboden zonder identificatie dus daar ga ik verder geen energie meer in steken. Daar kijk ik nu nog 18+ games op.
Bescherm jezelf, want een ander zal het niet voor je doen.
Je clicks zijn goud waard voor derden, letterlijk en figuurlijk.
Mullvad Browser heeft dezelfde geavanceerde bescherming tegen fingerprinting als de Tor Browser – hij maakt alleen verbinding met internet via (of zonder) een VPN, in plaats van via het Tor netwerk. Een sterk afwijkend schermformaat wordt door de Mullvad Browser ondervangen met de 'letterboxing' techniek, waardoor het voor derden of surveillerende partijen lijkt alsof je hetzelfde schermformaat gebruikt als vele tientallen miljoenen andere Mullvad Browser gebruikers. Mullvad Browser is dus een beter alternatief dan Firefox, en kan ook gewoon worden gebruikt zonder een VPN-account.
https://mullvad.net/en/download/browser/linux
https://coveryourtracks.eff.org/
https://www.security.nl/posting/678667/EFF+lanceert+online+tool+die+trackingbescherming+browser+test
En wat voor mij ook telt is dat ik vanaf een bekende lokatie maar eens per 14 dagen een 2FA code hoef in te geven. Ik log tientallen keren per dag in en dan is het een afweging tussen extra risico en gemak. Ik kan fingerprinting niet per gebruiker instellen. Het is niemand of iedereen.
In elk geval kan ik het me bij een inlog op een banksite goed voorstellen dat de bank wil weten of je vanaf een bekende PC inlogt. Zo niet kan de bank de acties uitgebreider monitoren op verdachte acties.
In geval van het gebruik van fingerprinting door een overheid, bank, (zorg)verzekering of zorginstelling lijkt mij het doel van beveiliging meestal gerechtvaardigd -- hoewel ik skeptisch blijft als het op verzekeringen aankomt. In het geval van firma's betrokken bij kritieke infrastructuur lijkt het mij ook gerechtvaardigd. In vrijwel alle andere gevallen, in het bijzonder de nieuws en sociale media, riekt snel naar spionage over de rug van de consument, met als enige doel winstmaximalisatie door de verkoop van privégevens en metadata voor de advertentie industrie en politieke beïnvloeding.
https://coveryourtracks.eff.org/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
