De nieuwe richtlijnen voor telecommunicatie – in de volksmond de ‘cookiewet' – zijn eenvoudig te omzeilen, meent informaticastudent Ralph Broenink van de Universiteit Twente. Op dit moment is de Tweede Kamer bezig met het afronden van de wet die onder meer regelt dat providers geen cookies meer op smartphones van gebruikers mogen plaatsen. Dit om te voorkomen dat ze het internetgedrag kunnen monitoren. Volgens Broenink kan Vodafone op een andere manier, zonder dat de gebruiker hier iets aan kan doen, nog steeds het internetgebruik van smartphonegebruikers volgen.
Vodafone maakt het volgen van gebruikers mogelijk zonder dat het hiervoor toegang tot de apparatuur van de gebruiker nodig heeft. Uit het onderzoek van Broenink komt naar voren dat het bedrijf de http-requests (het verzoek van een webbrowser om informatie van een website) verrijkt met een stuk identificerende informatie. Het gaat hierbij om een http-header genaamd X-VF-ACR: ‘Vodafone Anonymous Customer Recognition'.
Sessies koppelen
Met behulp van de interface die Vodafone aan zijn partners beschikbaar stelt, kan de header worden gebruikt om een anonieme identiteit van de klant vast te stellen. Vodafone en zijn partners kunnen met de header sessies van klanten aan elkaar koppelen, ook nadat een klant is gewisseld van browser of telefoon. In tegenstelling tot cookies, kan deze aanvullende informatie niet ‘zomaar' door de klant worden verwijderd.
Vodafone is het overigens niet eens met de conclusies van Broenink en laat in een officiële verklaring weten dat zij zonder toestemming geen klantinformatie aan derden doorspelen.
Ralph Broenink voerde, ter afronding van zijn bacheloropleiding Informatica, het onderzoek uit bij de vakgroep Distributed and Embedded Security (DIES) van het onderzoeksinstituut CTIT. Hij kreeg een negen als eindcijfer voor zijn onderzoek. Zijn volledige publicatie is te lezen op http://referaat.cs.utwente.nl.
Interview
Lees ook het interview met Ralph Broenink: ‘Ook met cookiewet is gebruiker niet anoniem'.
En zo zie je dat privacy ook een kwestie is van mentaliteit bij bedrijven. Zolang daar netjes omgaan met klanten ondergeschikt is aan het misbruiken van klanten voor wat meer omzet, valt er weinig te verwachten.
Apart. Dat hele verhaal van die interface die Vodafone haar klanten aanbiedt vind ik nergens terug in het paper van Broenink… Volgens mij wordt de Anonymous Customer REFERENCE alleen gebruikt om betalingen af te wikkelen, tracking is niet mogelijk.
Broenink ziet een header DUS zal die wel worden misbruikt. Zal ik je eens wat vertellen? Als ik Ziggo ben, en ik besluit naar Bol.com toe een header te injecten, maar dan alleen naar Bol.com toe, dan kun jij op geen enkele manier controleren of ik dat wel of niet doe…
En zal ik je nog eens wat vertellen? KPN en T-Mobile doen dit ook, maar dan alleen naar aangemelde partners, en juist ja: ook om betalingen te verwerken.
Of er tracking wordt toegepast kan Broenink niet zeggen. Dat kunnen alleen de betrokken partijen zeggen. Is een kwestie van vertrouwen hebben in je provider.
Ik vind dit stemmingmakerij…
Alsof de providers in het verleden zulk goed gedrag hebben getoond. DPI en opvallen snel achter elkaar aanpassen van de prijsstellingen zijn veel klanten nog lang niet vergeten.
@Sorcerer: “ACR=Anonymous Customer REFERENCE”: op https://www.computable.nl/artikel/achtergrond/internet/4383804/1282763/ook-met-cookiewet-is-gebruiker-niet-anoniem.html beweert Vodafone anders zelf dat het ‘Anonymous Customer Recognition’ betekent.
“Is een kwestie van vertrouwen hebben in je provider.”
Dat vertrouwen heb ik niet. U wel? In dat geval denk ik dat u een tikje naïef bent op dat punt.
“Volgens mij wordt de Anonymous Customer REFERENCE alleen gebruikt om betalingen af te wikkelen, tracking is niet mogelijk.”
Weet u dat zeker, of zijn het slechts vermoedens?
Ik neem aan dat Broenink de headers ook heeft gevonden op momenten dat er NIET sprake is van betaling. En in die gevallen is Anonymous Customer Recognition niet nodig en ook niet gewenst.
Er bestaan plugins om deze lastige, vaak bijna schermgrootte, cookie-verzoeken te onderdrukken. Scheelt weer een hoop muisklikken op een dag, lekker ergonomisch. Verder maak ik me hier niet druk om.