Vodafone injecteert trackingheaders in het webverkeer van klanten waarmee hun surfgedrag kan worden gevolgd, zo stellen onderzoekers van Access, een internationale organisatie die zich met digitale burgerrechten bezighoudt. Vodafone ontkent dit echter. Trackingheaders, ook wel supercookies of zombiecookies genoemd, worden door telecomaanbieders in het onversleutelde HTTP-verkeer van hun klanten geïnjecteerd.
Gebruikers kunnen de trackingheaders niet blokkeren, omdat ze door de telecomaanbieder op het netwerkniveau worden geïnjecteerd. Ook zogeheten 'Do not track' tools kunnen de trackingheaders niet blokkeren. Zelfs als de provider de headers niet gebruikt om advertenties te verkopen, kunnen andere bedrijven de headers voor advertentiedoeleinden gebruiken, aldus Access. Bepaalde headers kunnen daarnaast belangrijke privégegevens over de gebruiker lekken, waaronder telefoonnummers die in platte tekst zichtbaar zijn.
Wereldwijd houden verschillende telecomaanbieders zich hiermee bezig, waaronder Vodafone in Nederland, zo blijkt uit het rapport van de organisatie. Voor het in kaart brengen van de trackingheaders hadden de onderzoekers een website gelanceerd, genaamd Amibeingtracked.com, waar mensen konden kijken of hun verkeer werd gemanipuleerd. "Van de mensen die aan onze test deelnamen, vond de meeste tracking plaats in de VS, Spanje en Nederland. Het is interessant om Nederland met Canada te vergelijken, omdat meer mensen in Canada hun telefoons op Amibeingtracked.com hebben getest, maar mensen in Nederland meer trackingheaders hadden", aldus de onderzoekers.
Ze stellen dat hun onderzoek (pdf) (samenvatting - pdf) meer vragen dan antwoorden over het gebruik van trackingheaders oplevert. Er wordt dan ook gepleit voor verder onderzoek, zodat er beleid en maatregelen kunnen worden ontwikkeld om de privacyproblemen aan te pakken die met deze vorm van tracking samenhangen. Daarnaast roepen de onderzoekers telecomproviders op om het gebruik van trackingheaders kenbaar te maken. Ook moeten ze een manier bieden zodat gebruikers zich hiervoor kunnen afmelden.
Vodafone stelt dat het geen 'supercookies' gebruikt om app- en surfgedrag te volgen. "Om internetaankopen via de telefoonrekening te kunnen factureren, maakt Vodafone gebruik van een dynamische Anonymous Customer Reference. Dit is een anonieme code die alleen wordt aangemaakt als een klant een website bezoekt waar Vodafone een factureringsrelatie mee heeft. Als de klant daar vervolgens iets koopt, kan dit via de telefoonrekening betaald worden. Op basis van deze code, die in het netwerk wordt aangemaakt, brengen wij dit bedrag bij de juiste klant in rekening. Voor de verkopende site is niet duidelijk welke persoon de aankoop verricht heeft", aldus een reactie van de provider.
Deze posting is gelocked. Reageren is niet meer mogelijk.