image

Onderzoek: Vodafone injecteert trackingheaders in webverkeer

dinsdag 18 augustus 2015, 12:12 door Redactie, 13 reacties

Vodafone injecteert trackingheaders in het webverkeer van klanten waarmee hun surfgedrag kan worden gevolgd, zo stellen onderzoekers van Access, een internationale organisatie die zich met digitale burgerrechten bezighoudt. Vodafone ontkent dit echter. Trackingheaders, ook wel supercookies of zombiecookies genoemd, worden door telecomaanbieders in het onversleutelde HTTP-verkeer van hun klanten geïnjecteerd.

Gebruikers kunnen de trackingheaders niet blokkeren, omdat ze door de telecomaanbieder op het netwerkniveau worden geïnjecteerd. Ook zogeheten 'Do not track' tools kunnen de trackingheaders niet blokkeren. Zelfs als de provider de headers niet gebruikt om advertenties te verkopen, kunnen andere bedrijven de headers voor advertentiedoeleinden gebruiken, aldus Access. Bepaalde headers kunnen daarnaast belangrijke privégegevens over de gebruiker lekken, waaronder telefoonnummers die in platte tekst zichtbaar zijn.

Nederland

Wereldwijd houden verschillende telecomaanbieders zich hiermee bezig, waaronder Vodafone in Nederland, zo blijkt uit het rapport van de organisatie. Voor het in kaart brengen van de trackingheaders hadden de onderzoekers een website gelanceerd, genaamd Amibeingtracked.com, waar mensen konden kijken of hun verkeer werd gemanipuleerd. "Van de mensen die aan onze test deelnamen, vond de meeste tracking plaats in de VS, Spanje en Nederland. Het is interessant om Nederland met Canada te vergelijken, omdat meer mensen in Canada hun telefoons op Amibeingtracked.com hebben getest, maar mensen in Nederland meer trackingheaders hadden", aldus de onderzoekers.

Ze stellen dat hun onderzoek (pdf) (samenvatting - pdf) meer vragen dan antwoorden over het gebruik van trackingheaders oplevert. Er wordt dan ook gepleit voor verder onderzoek, zodat er beleid en maatregelen kunnen worden ontwikkeld om de privacyproblemen aan te pakken die met deze vorm van tracking samenhangen. Daarnaast roepen de onderzoekers telecomproviders op om het gebruik van trackingheaders kenbaar te maken. Ook moeten ze een manier bieden zodat gebruikers zich hiervoor kunnen afmelden.

Reactie Vodafone

Vodafone stelt dat het geen 'supercookies' gebruikt om app- en surfgedrag te volgen. "Om internetaankopen via de telefoonrekening te kunnen factureren, maakt Vodafone gebruik van een dynamische Anonymous Customer Reference. Dit is een anonieme code die alleen wordt aangemaakt als een klant een website bezoekt waar Vodafone een factureringsrelatie mee heeft. Als de klant daar vervolgens iets koopt, kan dit via de telefoonrekening betaald worden. Op basis van deze code, die in het netwerk wordt aangemaakt, brengen wij dit bedrag bij de juiste klant in rekening. Voor de verkopende site is niet duidelijk welke persoon de aankoop verricht heeft", aldus een reactie van de provider.

Image

Reacties (13)
18-08-2015, 12:28 door Anoniem
Kansloos
18-08-2015, 14:13 door Anoniem
Net getest:

Vodafone 4G => Not tracked
Vodafone, via mijn VPN (eigen server) => You are not on a 3G/4G/LTE network.

Alweer een reden om altijd een (eigen) VPN te gebruiken .... :)
Veel routers ondersteunen dat tegenwoordig standaard en is het geen rocket science om een VPN op te zetten.
18-08-2015, 14:50 door Anoniem
Wat een flut onderzoek. Ik heb dit zelf vorig jaar al ergens onderzocht.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
18-08-2015, 15:51 door Anoniem
Door Anoniem: Wat een flut onderzoek. Ik heb dit zelf vorig jaar al ergens onderzocht.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.

Nou waar is je artikel dan?
18-08-2015, 16:20 door Anoniem
Our test detected that your carries is Vodafone NL Autonomous System. Congratulations. According to our test, you are not being tracked by your carrier.

Misschien is Vodafone er snel mee gestopt. :-)
18-08-2015, 16:35 door Anoniem
Door Anoniem: Our test detected that your carries is Vodafone NL Autonomous System. Congratulations. According to our test, you are not being tracked by your carrier.

Misschien is Vodafone er snel mee gestopt. :-)
Of uitgeschakeld voor dit domein ;)
18-08-2015, 17:32 door Anoniem
Dit is inderdaad niets nieuws:

http://www.letmetrackyou.org/paper.pdf

http://www.mulliner.org/collin/academic/publications/mobile_web_privacy_icin10_mulliner.pdf

Bij T-mobile [nederland] doen ze t iets genuanceerder [worden alleen headers meegestuurd naar websites met een contractuele relatie] EN kun je t simpel uitzetten. Voda NL [kan|kon] je dat niet doen.
Geen idee [meer] wat KPN en alle MNx'en doen...
18-08-2015, 21:10 door Anoniem
Door Anoniem:
Bij T-mobile [nederland] doen ze t iets genuanceerder [worden alleen headers meegestuurd naar websites met een contractuele relatie] EN kun je t simpel uitzetten.

Ik kan me ook herinneren dat T-Mobile dit doet. Alleen een Google naar hoe deze dienst ook weer heet levert niets op. Zijn ze er wellicht mee gestopt? #privacy
19-08-2015, 01:07 door Anoniem
Ik kan me ook herinneren dat T-Mobile dit doet. Alleen een Google naar hoe deze dienst ook weer heet levert niets op. Zijn ze er wellicht mee gestopt? #privacy

Anonymous Subscriber ID (ASID)

https://www.t-mobile.nl/corporate/media/pdf/asid-omi-cookbook.pdf
19-08-2015, 11:32 door Anoniem
Door Anoniem:
Door Anoniem: Wat een flut onderzoek. Ik heb dit zelf vorig jaar al ergens onderzocht.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.

Nou waar is je artikel dan?

Nogsteeds benieuwd naar je artikel...
19-08-2015, 12:08 door Anoniem
...en Europa maar druk met non-sense maatregelen voor browsercookies...
19-08-2015, 16:23 door Anoniem
Het is inderdaad bij mij nu ook uit. Ik heb december vorig jaar een verzoek ingediend om ACR uit te zetten. Dat is toen niet gebeurd. Ik heb het toentertijd trouwens getest met www.lessonslearned.org/sniff, die doet hetzelfde.
Inmiddels ben ik ook Broadcast UID-vrij, dus ik denk dat de grond te heet onder de voeten werd...
20-08-2015, 13:18 door Anoniem
Reactie Vodafone: Vodafone stelt dat het geen 'supercookies' gebruikt om app- en surfgedrag te volgen. "Om internetaankopen via de telefoonrekening te kunnen factureren, maakt Vodafone gebruik van een dynamische Anonymous Customer Reference. Dit is een anonieme code die alleen wordt aangemaakt als een klant een website bezoekt waar Vodafone een factureringsrelatie mee heeft.

Goh, dit staat zo vol van de halve waarheden dat het pijn doet aan mijn ogen.

Als "Redactie" hier genoegen meeneemt dan komt Voda hier wel erg makkelijk mee weg...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.