Trackingbedrijf volgde stiekem 9 miljoen mensen in winkels
Een Amerikaans trackingbedrijf dat technologie ontwikkelde om mensen in winkels te volgen heeft stiekem 9 miljoen consumenten via hun smartphone gevolgd. Nomi, zoals het bedrijf heet, volgde mensen zowel binnen als buiten de winkels waar de technologie werd ingezet. Daarbij werd het MAC-adres, toesteltype, datum en tijd en signaalsterkte van de smartphone opgeslagen.
De verzamelde gegevens werden door Nomi gebruikt voor het opstellen van rapporten over hoeveel consumenten langs de winkels liepen, hoe lang ze binnen bleven, wat voor soort smartphones er werden gebruikt, hoe vaak dezelfde consumenten terugkwamen en hoeveel consumenten andere winkels van een specifieke keten bezochten. Deze rapporten deelde Nomi met de winkels die het trackingbedrijf als klant had. In de eerste maanden van 2013 zou Nomi 9 miljoen mensen binnen en buiten allerlei winkels hebben gevolgd.
Het privacybeleid van Nomi stelde echter dat consumenten van tevoren zouden worden gewaarschuwd als een winkel de Nomi-technologie gebruikte en dat er binnen de winkels een manier was om zich voor het volgen af te melden. Zowel de waarschuwingen voor consumenten als het opt-out-mechanisme in winkels waren niet aanwezig. Nomi misleidde consumenten dan ook, zo stelt de Amerikaanse toezichthouder FTC. De FTC en Nomi hebben nu een schikking getroffen waarbij het trackingbedrijf consumenten niet meer mag misleiden.
Reacties (14)
27-04-2015, 11:04 door
Erik van Straten
Weet iemand of er tooling bestaat om Wi-Fi clients te laten zwijgen totdat zij "bekende" access points herkennen (aan specifieke codes die dergelijke access points uitzenden)?
Daarbij stel ik me voor dat je altijd een handeling moet verrichten om public Wi-Fi tijdelijk aan te zetten, en bij versleutelde verbindingen het access point steeds een code versleuteld verzendt waaraan clients dat access point betrouwbaar kunnen herkennen.
Bestaat zoiets of iets dat er op lijkt?
Daarbij stel ik me voor dat je altijd een handeling moet verrichten om public Wi-Fi tijdelijk aan te zetten, en bij versleutelde verbindingen het access point steeds een code versleuteld verzendt waaraan clients dat access point betrouwbaar kunnen herkennen.
Bestaat zoiets of iets dat er op lijkt?
Zo te zien gaat het hier zuiver om het verkeerd voorlichten van klanten. Ze hebben dingen beloofd die ze niet zijn nagekomen. Het lijkt er in het geheel niet om te gaan dat het tracken zelf onrechtmatig of onwenselijk is. Er is geen sprake van dat verzamelde data vernietigd moet worden, het gaat er alleen om dat ze niet iets anders doen dan ze zeggen dat ze doen. Privacy is alleen maar een issue omdat (en voor zover) het bedrijf het zelf over privacy heeft gehad.
En dat is in een notedop het grote verschil in hoe men in de VS en in de EU tegen privacy aankijkt. In de VS regelt de markt het wel (bedrijven beloven privacy als klanten dat maar hard genoeg willen en worden afgerekend op het nakomen van die beloftes) en in de EU is privacy een recht en wordt het daarom in de wet geregeld en heeft de markt zich eraan te houden.
Ik heb (mede door de blunders en houding van Facebook op dit gebied) sterk de indruk dat Amerikaanse bedrijven die in de EU actief worden nogal eens niet snappen (of willen snappen) dat dit verschil bestaat.
En dat is in een notedop het grote verschil in hoe men in de VS en in de EU tegen privacy aankijkt. In de VS regelt de markt het wel (bedrijven beloven privacy als klanten dat maar hard genoeg willen en worden afgerekend op het nakomen van die beloftes) en in de EU is privacy een recht en wordt het daarom in de wet geregeld en heeft de markt zich eraan te houden.
Ik heb (mede door de blunders en houding van Facebook op dit gebied) sterk de indruk dat Amerikaanse bedrijven die in de EU actief worden nogal eens niet snappen (of willen snappen) dat dit verschil bestaat.
Als je openvpn gebruikt,dan ben je misschien niet te volgen,wel handig altijd dat te gebruiken.
Door Erik van Straten: Weet iemand of er tooling bestaat om Wi-Fi clients te laten zwijgen totdat zij "bekende" access points herkennen (aan specifieke codes die dergelijke access points uitzenden)?
Dit is technisch niet mogelijk met wifi. Wifi weet pas of iets bekend is, als er eerst een broadcast door de lucht gaat. En die broadcast kan iedereen lezen. En dus trackenDus er is maar 1 oplossing. Wifi uitzetten, als je de deur uit gaat. Gebruik alleen wifi als je actief je GSM gebruikt.
TheYOSH
Deze tools zijn er wel, gratis zelfs...
b.v.
Wi-Fi Matic
Auto WiFi Toggle
Smart WiFi Toggler
In Play Store kun je het vinden.
Gr. Jean
b.v.
Wi-Fi Matic
Auto WiFi Toggle
Smart WiFi Toggler
In Play Store kun je het vinden.
Gr. Jean
Door Erik van Straten: Weet iemand of er tooling bestaat om Wi-Fi clients te laten zwijgen totdat zij "bekende" access points herkennen (aan specifieke codes die dergelijke access points uitzenden)?
Daarbij stel ik me voor dat je altijd een handeling moet verrichten om public Wi-Fi tijdelijk aan te zetten, en bij versleutelde verbindingen het access point steeds een code versleuteld verzendt waaraan clients dat access point betrouwbaar kunnen herkennen.
Bestaat zoiets of iets dat er op lijkt?
Daarbij stel ik me voor dat je altijd een handeling moet verrichten om public Wi-Fi tijdelijk aan te zetten, en bij versleutelde verbindingen het access point steeds een code versleuteld verzendt waaraan clients dat access point betrouwbaar kunnen herkennen.
Bestaat zoiets of iets dat er op lijkt?
Wat dacht je van gewoon WiFi standaard uit te zetten op je telefoon? Scheelt ook meteen enorm veel op je batterij
Dat gebeurt hier min of meer ook :
"Klanten Dixons, Mycom en iCentre gevolgd via wifi-tracking"
https://www.security.nl/posting/376207/Klanten+Dixons%2C+Mycom+en+iCentre+gevolgd+via+wifi-tracking
"PvdA en VVD stellen Kamervragen over wifi-tracking winkels"
https://www.security.nl/posting/376421/PvdA+en+VVD+stellen+Kamervragen+over+wifi-tracking+winkels
Bluetrace heeft waarschijnlijk meer klanten, klanten die destijds geïnteresseerd waren en het inmiddels toepassen.
Jumbo, Polare (failliet inmiddels?), Prorail.
http://www.adformatie.nl/nieuws/cbp-meldplicht-nodig-voor-volgen-wifi-signaal
"Wifi tracking winkels volgen je voetsporen dixons mycom en icentre"
http://tweakers.net/reviews/3385/3/wifi-tracking-winkels-volgen-je-voetsporen-dixons-mycom-en-icentre.html
Reden het juist bij deze bedrijven te (gaan) verwachten.
Oplossing?
Deze winkels boycotten of wifi en bluetooth uit als je gaat winkelen.
Of voor iOS 8 gaan?
iOS 8 gebruikt willekeurig MAC-adres bij scannen wifi-netwerk
https://www.security.nl/posting/391202/iOS+8+gebruikt+willekeurig+MAC-adres+bij+scannen+wifi-netwerk
"Klanten Dixons, Mycom en iCentre gevolgd via wifi-tracking"
https://www.security.nl/posting/376207/Klanten+Dixons%2C+Mycom+en+iCentre+gevolgd+via+wifi-tracking
Het gaat om een klantvolgsysteem van het Amsterdamse Bluetrace.
Dat bedrijf liet eind december 2013 al op de eigen website weten dat het bij Dixons, Mycom en iCentre een klantvolgsysteem had uitgerold.
Dat bedrijf liet eind december 2013 al op de eigen website weten dat het bij Dixons, Mycom en iCentre een klantvolgsysteem had uitgerold.
Via wifi-tracking kan het bedrijf het aantal klanten meten dat de winkel betreedt en hoeveel mensen langs de winkel lopen zonder binnen te gaan.
Volgens het College bescherming persoonsgegevens moet de BAS Group vooraf aan klanten aangeven dat ze gevolgd worden en daarnaast een opt-out-mogelijkheid bieden.
De Bas Group doet geen van beide, maar laat aan Tweakers weten dat dit ook niet nodig is, aangezien elke winkel telsystemen gebruikt.
De Bas Group doet geen van beide, maar laat aan Tweakers weten dat dit ook niet nodig is, aangezien elke winkel telsystemen gebruikt.
"PvdA en VVD stellen Kamervragen over wifi-tracking winkels"
https://www.security.nl/posting/376421/PvdA+en+VVD+stellen+Kamervragen+over+wifi-tracking+winkels
Vanwege de ophef besloot de BAS Group, waar de drie winkelketens onder vallen, klanten via een bordje te waarschuwen.
Zeg maar een miniscuul stickertje ergens tegen de rand van het raam om aan de meldplicht te voldoen.Bluetrace heeft waarschijnlijk meer klanten, klanten die destijds geïnteresseerd waren en het inmiddels toepassen.
Jumbo, Polare (failliet inmiddels?), Prorail.
http://www.adformatie.nl/nieuws/cbp-meldplicht-nodig-voor-volgen-wifi-signaal
"Wifi tracking winkels volgen je voetsporen dixons mycom en icentre"
http://tweakers.net/reviews/3385/3/wifi-tracking-winkels-volgen-je-voetsporen-dixons-mycom-en-icentre.html
Een woordvoerster van Media Markt kon niet aangeven of die winkelketen wifi-tracking gebruikt. De HEMA gaf geen inhoudelijke reactie.
Het aantal vierkante meters in een mycom zijn nogal beperkt, dat geldt niet voor veel hema's of mediamarkten.Reden het juist bij deze bedrijven te (gaan) verwachten.
Oplossing?
Deze winkels boycotten of wifi en bluetooth uit als je gaat winkelen.
Of voor iOS 8 gaan?
iOS 8 gebruikt willekeurig MAC-adres bij scannen wifi-netwerk
https://www.security.nl/posting/391202/iOS+8+gebruikt+willekeurig+MAC-adres+bij+scannen+wifi-netwerk
Door Anoniem: Zo te zien gaat het hier zuiver om het verkeerd voorlichten van klanten. Ze hebben dingen beloofd die ze niet zijn nagekomen.
Dat is een wel erg simpele kijk op het gebeuren. Nee, ze hebben klanten niet verkeerd voorgelicht. Ze hebben ze totaal niet voorgelicht; de FTC spreekt immers niet zomaar van misleiding,
Het lijkt er in het geheel niet om te gaan dat het tracken zelf onrechtmatig of onwenselijk is.
Hoezo niet onwenselijk? Er zijn twee kampen: - de bedrijven; deze vinden tracking pas onwenselijk als je je daarvoor actief afmeldt, en
- de consument; deze vindt tracking meestal pas OK als hij/zij zich daarvoor heeft aangemeld, of akkoord gegaan is met tracking.
Aangezien wij in Europa toch iets meer aan privacy hechten als de gemiddelde Amerikaan (naar het zich laat aanzien) zijn er privacyregels opgesteld. Ik mag er van uit gaan dat bedrijven zich daaraan houden. Dit bedrijf heeft op drie punten het laten afweten:
- geen voorlichten van klanten en/of bezoekers,
- geen actieve toestemming vragen van klanten/bezoekers,
- stiekem (ja, dat is het namelijk) wel volgen van diezelfde klanten/bezoekers, zonder hun medeweten en zonder hun toestemming.
Privacy is alleen maar een issue omdat (en voor zover) het bedrijf het zelf over privacy heeft gehad.
Wat een onzin. Ik heb recht op privacy, en dit bedrijf respecteert dat niet. Ook al zouden ze niets over privacy geroepen hebben dan nog is privacy een issue omdat die van mij en vele andere klanten, passaten en bezoekers willens en wetens geschonden is.
27-04-2015, 12:14 door Anoniem (TheYOSH):
Dat klopt, maar dat hoeft niet de client te zijn. Als clients niets zenden totdat zij een betrouwbaar access point herkennen, kan niemand ze tracken (althans niet via Wi-Fi).Door Erik van Straten: Weet iemand of er tooling bestaat om Wi-Fi clients te laten zwijgen totdat zij "bekende" access points herkennen (aan specifieke codes die dergelijke access points uitzenden)?
Dit is technisch niet mogelijk met wifi. Wifi weet pas of iets bekend is, als er eerst een broadcast door de lucht gaat. En die broadcast kan iedereen lezen.Zelf zet ik Wi-Fi op m'n smartphone zoveel mogelijk uit als ik "de deur uitga", maar soms vergeet ik dat gewoon. En ik ben daarmee vast niet de enige.
@Anoniem 11:58: OpenVPN en andere VPN tunnels (zoals IPSec) helpen niet tegen deze vorm van tracking (omdat ethernet = OSI laag 2 adressen tussen smartphone en access point onversleuteld worden uitgewisseld).
@Anoniem 13:21: dank voor de tips, ik zal eens kijken! Maar eigenlijk ben ik niet op zoek naar apps, maar iets dat standaard wordt op portable devices.
27-04-2015, 17:01 door
karma4
Handig die google-maps. Je locatie kan bepaald worden door:
a/ GPS heb je zelf in de hand
b/ Wifi (bekende spots) kan je uit zetten.
c/ het GSM signaal naar de dichtbijzijnde mast.
Aangezien jouw wifi en gsm polt om te kijken wat er in de buurt is, is de enige manier om niet gevolgd te worden door wie dan ook, het apparaat geheel uit te zetten. Dat geheel uitzetten schijnt mogelijk te zijn. (viegtuig)
a/ GPS heb je zelf in de hand
b/ Wifi (bekende spots) kan je uit zetten.
c/ het GSM signaal naar de dichtbijzijnde mast.
Aangezien jouw wifi en gsm polt om te kijken wat er in de buurt is, is de enige manier om niet gevolgd te worden door wie dan ook, het apparaat geheel uit te zetten. Dat geheel uitzetten schijnt mogelijk te zijn. (viegtuig)
Door Anoniem:
Nee, ze hebben klanten niet verkeerd voorgelicht. Ze hebben ze totaal niet voorgelicht; de FTC spreekt immers niet zomaar van misleiding,
Ze spreken van misleiding omdat dat bedrijf iets anders heeft gedaan dan het *wel* expliciet tegen klanten heeft gezegd.Door Anoniem: Zo te zien gaat het hier zuiver om het verkeerd voorlichten van klanten. Ze hebben dingen beloofd die ze niet zijn nagekomen.
Dat is een wel erg simpele kijk op het gebeuren. Nee, ze hebben klanten niet verkeerd voorgelicht. Ze hebben ze totaal niet voorgelicht; de FTC spreekt immers niet zomaar van misleiding,
Het lijkt er in het geheel niet om te gaan dat het tracken zelf onrechtmatig of onwenselijk is.
Hoezo niet onwenselijk?Privacy is alleen maar een issue omdat (en voor zover) het bedrijf het zelf over privacy heeft gehad.
Wat een onzin. Ik heb recht op privacy, en dit bedrijf respecteert dat niet.
Door Erik van Straten: Weet iemand of er tooling bestaat om Wi-Fi clients te laten zwijgen totdat zij "bekende" access points herkennen (aan specifieke codes die dergelijke access points uitzenden)?
Bestaat zoiets of iets dat er op lijkt?
Bestaat zoiets of iets dat er op lijkt?
Erik,
Zoiets kan niet, maar er is tooling waarbij je op basis van je locatie wifi aan of uit zet.
maar onderschat ook niet bluetooth, ook dat wordt gebruikt voor herkenning van devices op basis van mac-adres. dat gebeurt ook op straat en op de snelweg.
Voor Android is Pri-fi.. is wel root acces voor nodig..
Vooral de optie "go to war" is een interessante
Vooral de optie "go to war" is een interessante
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
