Nieuws

'Advertentie-industrie houdt sites onwetend over privacyschendingen'

woensdag 17 januari 2018, 14:41 door Redactie, 12 reacties

Advertentie- en analyticsbedrijven houden uitgevers en eigenaren van websites onwetend over privacyschendingen door hun scripts, zo stellen onderzoekers. Steven Englehardt, Gunes Acar en Arvind Narayanan lieten eind vorig jaar zien dat op duizenden websites session-replay scripts actief zijn.

Deze scripts slaan het gedrag van de gebruiker op, zodat dit later kan worden bekeken. "Alsof iemand over je schouder meekijkt", aldus de onderzoekers. Het beoogde doel van dergelijke scripts is om inzicht te krijgen in hoe gebruikers de website gebruiken en verwarrende of niet meer bestaande pagina's te ontdekken. De hoeveelheid data die deze diensten verzamelen gaat volgens de onderzoekers veel verder dan gebruikers verwachten.

Het gaat dan bijvoorbeeld om de tekst in een formulier voordat die wordt verstuurd, alsmede precieze muisbewegingen. De onderzoekers merken op dat deze gegevens niet anoniem blijven. Sommige bedrijven laten uitgevers deze opnamen aan de echte identiteit van de gebruiker koppelen. De session-replay scripts werden op 8.000 websites aangetroffen.

Vier websites werden uitgebreid door de onderzoekers onder de loep genomen. Geen van de vier uitgevers wist dat de third-party scripts die op hun websites draaiden allerlei privégegevens naar derden doorstuurden. Eén van de websites was zelfs onbekend met allerlei belangrijke onderdelen van de algemene voorwaarden van het analyticsbedrijf dat het session-replay script aanbood. "Dit is een patroon dat we de afgelopen zes jaar tijdens ons privacy-onderzoek keer op keer tegenkwamen", aldus de onderzoekers.

In veel gevallen hadden de uitgevers van de websites geen directe relatie met het third-party script dat voor de privacyschending zorgde. Een webontwikkelaar vroeg de onderzoekers zelfs om hulp, aangezien hij niet wist hoe het script in kwestie werd geladen. In dit geval bleek dat een keten van advertentienetwerken uiteindelijk voor het laden van het script verantwoordelijk was. Bij dergelijke redirects en advertentieketens zijn vaak tal van partijen betrokken. "Op sommige websites heeft een meerderheid van de derde partijen geen directe relatie met de uitgever", stellen de onderzoekers.

Ze merken op dat het grootste deel van de advertentie- en analytics-industrie niet alleen eindgebruikers in het ongewisse over privacyschendingen laat, maar ook website-eigenaren en uitgevers. De moeite die het uitgevers kost om derde partijen volledig door te lichten zou veel van de voordelen die het uitbesteden van taken aan hen oplevert ongedaan maken, gaan de onderzoekers verder. "De advertentie-industrie creëert een enorm negatief effect als het gaat om de privacy van gebruikers." De onderzoekers stellen dat uitgevers moeten worden geïnformeerd over wat derde partijen op hun website doen en weer de controle in handen krijgen, aangezien dit de meest effectieve manier is om de online privacy te verbeteren.

World Economic Forum waarschuwt voor cyberdreigingen

Kamervragen over verkoopverbod onveilige IoT-apparaten

Reacties (12)

17-01-2018, 15:19 door dodo1

hmmm, terug naar img onclick reclame? Dit bevat geen JS troep, kan geanimeerd zijn en is soms zelfs lastiger te blokkeren.

17-01-2018, 15:20 door Anoniem

En mede hierom kan iedere website die tegen mij begint te zeiken over mijn adblocker al dan niet ongezien de tyfus krijgen.

17-01-2018, 15:59 door Anoniem

En daarom....Tails!!!

17-01-2018, 16:38 door karma4

Daarom geen trackers maar de weblogs gebruiken. Oeps kleine uitdaging dat is het nerd ICT domein en die willen niets faciliteren. Als dat wel zou gebeuren zouden marketeers ook niet naar eigen oplossingen zoeken en eigen zaken inkopen.

17-01-2018, 18:19 door Anoniem

Oeps kleine uitdaging dat is het nerd ICT domein en die willen niets faciliteren. Als dat wel zou gebeuren zouden marketeers ook niet naar eigen oplossingen zoeken en eigen zaken inkopen.

Het is juist omgekeerd: marketeers die denken iets van IT te snappen, daar zit het probleem. Laat ze eerst maar eens duidelijk maken a) wat ze willen weten, b) waarom ze dat willen weten, c) hoe de business daarmee gediend is en d) op welke manier we die gegevens kunnen verkrijgen zónder de privacy van de klant aan te tasten. Vaak kan het wel, maar ontbreekt de wil. Het feit dat afdeling A niet met afdeling B door één deur kan moet niet worden afgeschoven op de klant die daarvoor betaalt met zijn privacy.

17-01-2018, 19:05 door Anoniem

tja maar als toko die een advertentie club in dienst neemt heeft ook zijn verantwoordelijkheden. hoe naif kun je zijn als je denkt dat dit soort bedrijven niet zo nu en dan een vies streekje voor de winst doen onder het spelletje van 'oh mocht dat niet, dat wisten we echt niet hoor?!'.

17-01-2018, 19:51 door ph-cofi

Een manager had het kunnen beweren.

17-01-2018, 22:00 door Anoniem

Maar wat wil je als je in de VS steeds hoort: "Privacy is dead"? Uiteindelijk geloven alle privacy verkrachters dat
naast de goegemeente ook daadwerkelijk en zijn alle grenzen van het aantasten van de persoonlijke levenssfeer binnen kort overschreden.

Vind je het dan gek, dat ze hier dit ook gaan doen, te meer als de politiek via lobby hen steunt en handhaving van het laatste restje burgerbescherming een tandeloze papieren tijger blijkt. Neen overheid doet lekker mee aan de privacy violatie.

Het is altijd al met groot commercie - geef ze een vinger en ze nemen de hele hand. Daarom adguard en antiminer draaien en adblockers met de nodige abonnementen, script van derde partijen blokkeren en de verzoeken die je niet wenst en niet nodig zijn voor een goed functioneren van de webpagina blokkeren.

Geen stap opzij voor degenen, die lak hebben aan mijn wensen in deze. Ik laat ze het toch weten "Do Not Track" en ze negeren dit. Nou dan krijg je wat je niet wil, we gaan trackertje frustreren. Wil je geen zelfregulatie, dan ook geen respect van de eindgebruiker.

Zoek je polarisatie, krijg je polarisatie. Wil je harmonie, krijg je dat ook.

18-01-2018, 08:35 door Anoniem

Geen Nederlandse sites gevonden in de lijst.

18-01-2018, 09:45 door Anoniem

Zijn dit dan geen grove privacyschendingen van de advertentiebedrijven die we via EU-recht kunnen aanpakken?

18-01-2018, 11:29 door Anoniem

Eu? Hier nog niets gelezen over pkd2 schoudersurfen door fintech bij uw banktransacties. Niemand roert zich. 28 februari a.s. kunnen we er al van gaan genieten.Dank aan Juncker & co.

18-01-2018, 14:47 door Anoniem

Ze houden de wereld ook onwetend over HTML5 te vertalen als Hey Track Me Longtime 5:
lees: https://www.theregister.co.uk/2018/01/17/html5_online_tracking/

Terwijl enkele monopolistisch-fascistisch opererende grote data tech bedrijven hier onbegrensd van profiteren, wordt de gebruikersbescherming steeds verder uitgekleed. Met name de audio playback functie in HTML5 is een ideaal tracking middel om gebruikers online te volgen. Oj, ik zie weer een poging tot een canvas fingerprint.

Met de verruimde EU regelingen (t.o.v. onze nationale) t.a.v. van toegang door fintech-bedrijven tot uw financiële data vanaf 28 februari a.s. wordt deze materie steeds actueler. Derde partijen mogen dan ook uw data krijgen. Nog niet gehoord, wat wij hier eigenlijk van vinden op security.nl?

Iedereen en alles lijkt ingedut of wordt al "geowned"door deze grote internationale data-graai spelers als Google, facebook etc. De diepste zakken regeren inmiddels overal.

Men loopt verder enorme bedragen aan belastinggeld mis (887 miljoen alleen in Duitsland) en nationale en lagere overheden en zeer zeker de eindgebruikers hebben het nakijken. Dit is een paar exponenten groter als ons Nederlands sleepwetje probleem.

Ondertussen worden de Nederlandse geesten klaar gemasseerd voor het weggeven van hun financiële data via spelprogramma's rond salarisinkomsten. Vroeger was men hier toch wat terughoudender met het delen van informatie over genoten inkomen enzovoort. Overal hobbelt men onder druk van globale lobbyisten de Amerikaanse usance in deze achterna, waar men veel minder scrupules kent en consumentenbescherming nog verder is uitgekleed.

Het lijkt hier trouwens ook wel of het jongeren steeds minder interesseert. Zonder tegengeluid gaat de EU steeds een stapje verder in het negeren van de burgers (kijk zelf waar u de accenten wil leggen ;))

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer