Telecomprovider KPN koppelt een identiteit aan het internetverkeer, zodat zij kunnen volgen wat hun gebruikers doen. Dit zou mogelijk zijn zonder cookies op een smartphone te plaatsen. Dit zegt informaticastudent Ralph Broenink van de Universiteit Twente die onderzoek verrichtte naar volgcodes bij telecomproviders. Eerder vond hij al volgcode in de http-header van de Vodafone-website, nu blijkt dat KPN ook van soortgelijke code gebruik maakt. Broenink deed ook onderzoek naar T-Mobile, maar vond daar geen volgopties.
Voor zijn onderzoek bij de vakgroep Distributed and Embedded Security (DIES) van het onderzoeksinstituut CTIT kwam Broening erachter dat Vodafone gebruik maakt van de ‘X-VF-ACR’-header. Hiermee kan de telecomprovider door het gebruik van ‘anonymous customer recognition’ (ACR) klanten volgen. Deze methode voegt een stuk informatie toe aan ieder webrequest, zodat Vodafone en zijn partners een profiel van de gebruiker kunnen opstellen. Hiermee hoeft Vodafone dan geen cookies meer op de smartphones van de gebruiker te plaatsen om hem te kunnen volgen.
Vodafone is het overigens niet eens met de conclusies van Broenink en laat in een officiële verklaring weten dat zij zonder toestemming geen klantinformatie aan derden doorspelen.
Brand-ID
Broenink heeft naast Vodafone ook naar andere grote Nederlandse providers gekeken. Hij constateerde dat KPN de ‘Brand-ID’ aan het internetverkeer toevoegt. Dit houdt in dat iedere website die vanaf een KPN-toestel wordt bezocht, kan weten of de bezoeker bijvoorbeeld Hi of Simyo gebruikt.
‘Ook voegt KPN het interne ip-adres (10.*.*.*) toe aan iedere http-request’, aldus Broenink. ‘Dit ip-adres is volledig zinloos voor websites, omdat het een intern adres is en niet van buitenaf benaderbaar is, maar het kan waarschijnlijk wel gebruikt worden om een gebruiker te volgen (althans, in dezelfde sessie). Helaas had ik niet meer tijd om hier echt gedegen onderzoek naar te doen. Bij T-Mobile heb ik dergelijke informatie overigens niet aangetroffen.’
Cookiewet
In politiek Den Haag zijn politici bezig met het opstellen van een cookiewet. Deze wet is bedoeld om internetgebruikers anoniem te kunnen laten surfen. Door het opslaan en gebruik van cookies aan juridisch te definiëren, wil Den Haag de volgmethoden van bedrijven aan banden leggen. De politieke besluitvorming gaat echt minder snel dan de technologische ontwikkelingen, want voor de nieuwe volgmethoden die KPN en Vodafone kunnen gebruiken zijn nog geen juridische regels opgesteld. Hierdoor is het ook niet verboden wat de telecomproviders doen.
Interview
Lees ook het interview met Ralph Broenink: ‘Ook met cookiewet is gebruiker niet anoniem’.