Juridische vraag: T-Mobile stuurt anonieme code mee
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik las dit artikel dat telecomproviders zoals Vodafone en T-Mobile een anonieme code (X-Asid header) meesturen als je via hun mobiele netwerk op internet gaat met je telefoon. Dat lijkt me nogal een privacyschending, omdat website-eigenaren je dan aan de hand van die code kunnen volgen. Mag dat zomaar?
Antwoord: Inderdaad, enkele mobiele operators voegen een unieke code toe aan elke HTTP request die je via hun internetdiensten opstuurt. (Detecteer hem hier)
Deze code is een willekeurig gekozen getal, dat via de database van de provider te herleiden is tot de gebruiker. Vodafone zegt dat dit "uiteraard getoetst [is] aan de Nederlandse privacy-wetgeving", maar ik twijfel daar toch aan.
Er moet "ondubbelzinnige" toestemming worden gegeven voor elk gebruik van persoonsgegevens. Expliciet wordt hier niet naar gevraagd, maar het staat wel keurig in de privacystatement van Vodafone: Als u surft op het mobiele internet wordt door Vodafone tijdens de internetsessie de zogenaamd ASID (Anonymous Subscriber ID) meegegeven. Dit is een unieke alfanumerieke code, vergelijkbaar met het IP-adres van uw computer, die bevordert dat de mobiele content provider op een veilige manier u als bezoeker herkent en beter van dienst kan zijn. Hierdoor kunnen bijvoorbeeld uw voorkeuren worden vastgelegd zodat de internetpagina bij een volgend bezoek voor uw gemak automatisch deze voorkeuren weergeeft.
Je kunt dus zeggen, je wordt geacht zo'n verklaring te lezen als je abonnee wordt en in te stemmen met wat daarin gebeurt.
Alleen, de X-Asid header valt juridisch gezien onder een "nummer ter identificatie van personen". En daarvoor gelden strengere regels dan 'gewone' verwerkingen van persoonlijke gegevens. Zo'n verwerking moet worden aangemeld bij het CBP, en bovendien (artikel 31 Wbp) moet het CBP dan een voorafgaand onderzoek instellen.
Is zo'n onderzoek ingesteld? Geen idee. Het enige wat ik kan vinden, is dit zinnetje in Vodafone's privacyverklaring zoals gemeld bij het CBP: Het verstrekken van gegevens aan derden c.q. verwerken van gegevens van derden, voor commerciëlen charitatieve en ideële doelen
Ik denk niet dat dit het gebruik van de X-ASID header afdekt. Het lijkt me dan ook dat het CBP hiertegen zou moeten optreden. Alleen, die kunnen pas iets als er voldoende mensen een klacht hebben ingediend. Ga daarom naar Uw klacht en het CBP en doorloop het stappenplan. Belangrijkste is dat je geklaagd hebt bij de provider.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Vervolgens heb ik in het register van het CPB gezocht of de verwerking van die gegeven uberhaupt wel is aangemeld (aanmelding wil dus niet zeggen dat het getoetst en goed gekeurd is). Ook dit blijkt niet het geval (zover als ik heb kunnen zien) Vodafone heeft maar drie processen aangemeld bij het CPB, dat lijkt me wel erg weinig voor een dergelijk instantie.
als mensen zelf willen zoeken naar aangemelde processen die persoonsgegevens verwerken kunnen ze hier terecht:
http://www.cbpweb.nl/asp/ORSearch.asp
en hier een overzicht van de aangemelde processen (Let op, deze zijn niet getoetst en hoeven dus ook niet goedgekeurd te zijn):
http://www.cbpweb.nl/asp/ORDetail.asp?moid=808e8d8e88&refer=true&theme=purple
http://www.cbpweb.nl/asp/ORDetail.asp?moid=8f8f8f8484&refer=true&theme=purple
http://www.cbpweb.nl/asp/ORDetail.asp?moid=8f8f8f8d8f&refer=true&theme=purple
Nu ik hiervan op de hoogte ben, zie ik ook een koppeling tussen mijn surfgedrag en de scheit irritante reclame SMS'jes van vodafone ....
Viagra ?? ;-)
Zijn de ontwikkelaars van deze apparaten dan zulke eikels?
Dat ze hier niet aan gedacht hadden, deze feature is niet per ongeluk geïmplementeerd.
Zou toch zo moeten wezen dat dit soort zaken, de werking van programma's, getoetst worden door bepaalde partijen (privacy voorvechters) met verstand van zaken.
Je kan nu eenmaal niet zomaar meer een programma in de markt laten zetten. De kans dat iemand er alleen zichzelf mee wil verrijken of anderen duperen is te groot tegenwoordig - vind ik.
Viagra ?? ;-)
Sja nu weten waar ik opzocht kunnen ze me natuurlijk gerichte reclame aanbieden vanuit vodafone.....
Viagra ...
Penisvergroting ...
Tamilflu...
Adult enteraiment...
Vodafone die mij wil mee laten delen in een grote erfenis ... ik hoef alleen maar de transactie kosten over te maken voor het ontvangen van de erfenis ... misschien moet ik daar maar is op in gaan :P :P :P
ff serieus ... ben je aan het zoeken geweest naar een reisbureau op het internet, krijg je 2 min later een smsje van Vodafone. Dat ik goedkoop kan bellen in het buitenland.... toch wel toevallig heh ?
Inmiddels heb ik er een klacht over ingedient bij het CBP, de brief richting vodafone zal één deze ook de deur uitgaan.
Mogelijk ben jij klant bij een andere provider, je zou dan op zijn minst de check kunnen uitvoeren op www.randysimons.nl/147 Surf er even naar toe met je mobiele telefoon en je weet of jij provider ook die soort vieze Tags aan jou header toevoegt.
Vervolgens zou je middels dit topic ons op de hoogte kunnen brengen van jou bevindingen en de keuze maken een klacht in te dienen bij zowel je provider als het CBP.
Ik zou het alleen niet weten of het mogelijk is dat te doen.
Het is van mij maar een sugestie.
Als een shop (denk aan het boeken van een (vlieg)reis) je 2 maanden geleden een bod deed en de prijzen zijn ondertussen gedaald (nog veel vliegtuigstoelen vrij), gaan ze hun bod echt niet evenveel verlagen als ze kunnen achterhalen welk bod ze toen aan je deden. Al die reissites zijn donders goed op de hoogte van de aanbiedingen van elkaar en sommige sites zijn gewoon van dezelfde eigenaar. Aan het eind van de rit kom je dus weg met een slechtere deal dan dat ze iedere keer een aanbod moeten doen zonder kennis van vorige bezoekjes.
Het probleem met deze unieke code is niet anders dan met iedere andere manier van bezoekeridentificatie; alleen kan de gebruiker het versturen van deze code zelf niet voorkomen.
Dus: browser plugins gebruiken om te voorkomen dat er iets identificeerbaars wordt meegestuurd met iedere pagina aanvraag en niets on-line kopen via Vodafone en T-Mobile.
Ik zou het alleen niet weten of het mogelijk is dat te doen.
Het is van mij maar een sugestie.
Dan zou je onderzoek moeten doen met een sniffer op je telefoon, de vraag is alleen of er zo sniffers beschikbaar zijn die op je mobiel kunt draaien? Maar dit word te technisch voor dit topic, om daar verder over te babbelen zou ik een nieuw topic openen. Ik ben namelijk van mening dat in dit topic een heel goed punt wordt aangehaald.
Ik zou het alleen niet weten of het mogelijk is dat te doen.
Het is van mij maar een sugestie.
Om dit uit te zetten, sms : "ID Uit" naar 1310
Dan zou je onderzoek moeten doen met een sniffer op je telefoon.
Je kan altijd nog op basis van contractbreuk (het niet leveren van internet) vragen je webverkeer niet te filteren.
Bedenk gewoon een protocol die lijkt op http, over poort 80 gaat en essentiele informatie verstuurt via de X-ASID header. Het staat je rfc-technisch vrij om die te gebruiken naar eigen goeddunken.
Als de provider dan jouw X-ASID header verminkt zijn ze gewoon opzettelijk fout bezig.
Ik weet niet of dat juridisch wel of niet werkt, maar op technisch vlak is iedereen die mijn headers verminkt fout bezig.
Daarnaast raad ik iedereen aan om in je webbrowser een X-ASID header in te stellen met de content: "goatse goatse goatse".
Of bij elke request een random string. Als iedereen dat doet heeft X-ASID zowiezo geen waarde meer.
Wat is het verschil tussen het meesturen van X-ASID bij een mobiele internet connectie, en het meesturen van je IP adres, wat bij iedere internet connectie geschiedt ? Is X-ASID een verdergaande schending van privacy dan het meesturen van je IP adres, wat ook via je provider is te herleiden naar de identiteit van de klant ?
Zou dat komen doordat ik een custom profiel gebruik misschien? In dat geval is het dus gewoon zelf uit te schakelen.
Edit: Laat maar, ondertussen heb ik het stuk hier gelezen: http://randysimons.nl/113,overige/146,mobiele-privacy/
T-mobile stuurt het alleen mee naar bepaalde sites en het is simpel uit te zetten door een sms te sturen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
