Webtrackers van derde partijen waar webwinkels gebruik van maken kunnen genoeg informatie verzamelen om gebruikers van bitcoin en andere cryptocurrencies te ontmaskeren, zo stellen onderzoekers van Princeton University (pdf). Webwinkels hebben vaak tientallen webtrackers draaien.
Ze worden gebruikt voor analytics of het weergeven van advertenties. Webwinkels kunnen al dan niet bewust informatie aan deze trackers lekken. Zo kunnen webtrackers, ongeacht de gekozen betaalmethode, gevoelige details van de bestelling opvangen, zoals de goederen die iemand in het winkelmandje plaatst en hun prijs. De onderzoekers ontdekten dat veel webwinkels voldoende informatie over de aankoop aan webtrackers lekken dat die het kunnen koppelen aan de betalingstransactie op de blockchain.
Daarvandaan zijn er bekende manieren om die transactie aan de rest van het bitcoinwallet-adres van de gebruiker te koppelen, aldus de onderzoekers. Gebruikers kunnen zich door browserextensies zoals Adblock Plus en uBlock Origin wel tot enige hoogte beschermen, en door bitcoin-anonimiseringstechnieken zoals CoinJoin te gebruiken, maar nog steeds is het mogelijk om de transactie te koppelen.
Voor het onderzoek onderzochten de onderzoekers 130 webwinkels die bitcoin accepteren en ontdekten dat 53 van deze webwinkels transactiedetails aan trackers lekken. De meeste van deze 'lekkages' zijn opzettelijk zo ontworpen om advertenties en analytics mogelijk te maken. 49 websites blijken echter persoonlijke identifiers aan trackers te lekken, zoals namen, e-mailadressen, gebruikersnamen en dergelijke. Op deze manier is het mogelijk voor trackers om zogeheten 'real-world identifiers' aan bitcoin-adressen te koppelen.
Nu is er een anonimiseringsmethode voor bitcointransacties genaamd CoinJoin. In dit geval wisselen gebruikers bitcoins met elkaar uit op een manier die de link tussen de oude en nieuwe bitcoins verbergt. De onderzoekers wilden weten of deze techniek gebruikers echt kan beschermen en besloten bij verschillende webwinkels iets te kopen, waarbij CoinJoin werd gebruikt. Als een tracker in dit geval twee aankopen van de gebruiker weet te monitoren, iets dat veel voorkomt, kan die in 80 procent van de gevallen de bitcoinwallet identificeren.
Er zijn echter verschillende maatregelen die genomen kunnen worden om gebruikers te beschermen. Webwinkels kunnen ervoor kiezen om qr-codes met bitcoin-adressen zelf te genereren en eventuele lekken op de betaalpagina tegengaan. Gebruikers kunnen ervoor kiezen om extensies zoals Adblock Plus, Ghostery of uBlock Origin te installeren, maar de onderzoekers merken op dat deze tools maar gedeeltelijk effectief zijn. Aan de kant van de gebruikte cryptocurrency kunnen zogeheten mixingtechnieken worden toegepast. Dit kan een effectieve methode zijn, maar is niet perfect, aldus de conclusie van de onderzoekers. Verder adviseren ze het gebruik van alternatieve cryptocurrencies en betaalmechanismen.
Deze posting is gelocked. Reageren is niet meer mogelijk.