image

Nederland uitzondering met overheidssite zonder adtrackers

dinsdag 19 maart 2019, 17:27 door Redactie, 13 reacties

Bijna alle Europese overheden hebben op hun website commerciële advertentietrackers draaien, maar de Nederlandse Rijksoverheid is één van de uitzonderingen. Dat laat onderzoek van het Deense privacybedrijf Cybot zien. Voor het onderzoek werden bijna 185.000 pagina's op de primaire websites van Europese overheden geanalyseerd (pdf).

Van de 28 officiële overheidswebsites werden er op 25 advertentietrackers aangetroffen. Alleen op de websites van Nederland (Rijksoverheid.nl), Duitsland en Spanje vonden de onderzoekers geen commerciële trackers. Op de website van de Franse overheid werden maar liefste 52 trackers geteld, gevolgd door Letland (27) en België (19). Het gaat onder andere om scripts van Doubleclick, Facebook, Google en YouTube.

Het onderzoek keek ook naar de nationale gezondheidszorgwebsites van zes landen. Iets meer dan de helft van de landingpagina's bevatte advertentietrackers. Hierdoor kan gevoelige persoonlijke informatie in handen van advertentiebedrijven komen, zo waarschuwen de onderzoekers. Met name bij de website van de Ierse gezondheidszorg is het raak, waar op 73 procent van de landingpagina's trackers actief zijn. Op een Franse website over abortus werden scripts van 21 verschillende bedrijven aangetroffen, terwijl een Duitse website over zwangerschapsverlof trackers van 63 bedrijven bevatte.

"Als EU-burgers hun overheden online bezoeken, of wanneer ze openbare gezondheidsinformatie over gevoelige onderwerpen opzoeken, zoals zwangerschap, seksuele gezondheid, kanker of psychische problemen, worden ze onzichtbaar en systematisch door meer dan honderd commerciële bedrijven gevolgd", aldus de onderzoekers. Die adviseren overheden om gebruikers meer informatie over tracking te geven, alsmede de optie om trackers aan of uit te zetten. Daarnaast moeten ongewenste trackers worden verwijderd.

Image

Reacties (13)
19-03-2019, 18:08 door Anoniem
Maar joh... internet is geweldig! We moeten zo nodig met alles digitaal.
En we hebben tenslotte niks te verbergen. Toch?
19-03-2019, 19:31 door Anoniem
Nederland doet het geniepiger en niet rechtstreeks,
maar via www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
Geen HSTS preloading, geen CSP header, geen refere-policy-header.
Kwetsbaar voor Secure-Client-Initiated-Renegotiation bug.

* Hier vinden de volgende headers niet ingesteld:
CSP, XFO, X-CSS-protectie, X-Content-Type-Options & geen referer-policy header.
Dus laten we niet ineens hoera roepen.

41 verbeter voorstellen daar: https://webhint.io/scanner/fa6fd70e-83f0-410c-9301-1cba333ba173
inclusief 7 security issues.

In Brave krijg ik een browser waarschuwing: https://www.ergo-webreporting.com/Browserwarning.html
Advies, gebruik IE browser, want website is draait op ASP MS.

Overweeg tevens: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.ergo-webreporting.com%2FBrowserwarning.html

Site van BIT B.V. schijnt veilig: https://www.virustotal.com/#/ip-address/78.31.116.148
Name server staat in USA: whois.psi-usa.info

No response received
Certificate transparency
Signed Certificate Timestamps (SCTs)
Source Log Timestamp Signature Verification
Certificate Google Pilot
pLkJkLQYWBSHuxOizGdwCjw1mAT5G9+443fNDsgN3BA= 2018-01-04 12:52:33 Success
Certificate DigiCert 2
h3W/51l8+IxDmV+9827/Vo1HVjb/SrVgwbTq/16ggw8= 2018-01-04 12:52:33 Success
Certificate Google Skydiver
u9nfvB+KcbWTlCOXqpJ7RzhXlQqrUugakJZkNo4e0YU= 2018-01-04 12:52:33 Success

Minder ad-tracking-narigheid dan op de Franse tegenhanger, maar toch, Big Brother kijkt wel degelijk mee.
EU is de trackers beter gezind, dan de eigen burgers voor privacy-bescherming,
Edoch is EU er eigenlijk wel voor haaar ingezetenen, that's the question?

luntrus
19-03-2019, 20:38 door karma4
Door Anoniem: Nederland doet het geniepiger en niet rechtstreeks,
maar via www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
.. Minder ad-tracking-narigheid dan op de Franse tegenhanger, maar toch, Big Brother kijkt wel degelijk mee. ...

luntrus
Ik kon het al niet geloven dat er niets gevolgd wordt, dank je.
Ze gebruiken toch piwik? https://developer.matomo.org/api-reference/tracking-api
19-03-2019, 22:28 door Anoniem
@karma4,

Wat trackt Piwik nu zoal? Het gebruiker IP adres, Optioneel Gebruiker-ID, data tijd, pagina titel en pagina url, schermresolutie, tijd in lokale tijdzone van de gebruiker, links naar externe domeinen, die werden aangeklikt, tijd van aanmaak pagina, pagina laadsnelheid en geo-locatie, browser-taal, user-agent informatie via Universal Device Detection bibliotheek, tracking cookie informatie over bezoeken van de site, Verder kunnen er optionele data gevolgd worden als bij overheidscampagnes, site search, ecommerce, viewing & klikken op bepaalde content.

Als men persoonlijke data niet wil tracken moet een data-matomo-mask attribute gebruikt worden op pagina's die deze persoonlijk herleidbare data gebruiken.

Er wordt gebruik gemaakt van Microsoft.ASP.net en IIS IIS op Windows Server.
Issue Feedback van de site via Ctrl+Shift+I
Uncaught TypeError: Cannot read property 'local' of undefined
at check.js:524
blocker.js:512 Uncaught TypeError: Cannot read property 'local' of undefined
at blocker.js:512
s3.amazonaws.com/js-init/1f918df3fe7cc4f0db.js:1 Failed to load resource: net::ERR_BLOCKED_BY_CLIENT
antiphishing.js:1 Sending APH request...

Zie: https://s3.amazonaws.com/js-init/1f918df3fe7cc4f0db.js Cloud Object Storage met als gebruikte technologie:
Analytics
SiteCatalyst
JavaScript Framework
RequireJS
met links naar
https://a0.awsstatic.com/da/js/1.0.35/aws-da.js

Niet voor niets dat ik een amazon blokker gebruik in de browser of choice.

Dus alles wat je doet op rijksoverheid.nl en via webreporting wordt opgeslagen in de Amazon Cloud.

Denk even niet dat alle Nederlandse ingezetenen hiervan op de hoogte zijn gesteld of bewust van zijn.(iron.)

luntrus
20-03-2019, 00:32 door Anoniem
Nou Ollongeren kom er maar in en pak dit nepnieuws aan!
20-03-2019, 01:10 door Anoniem
Kan het niet van alles zeggen in geval van overheidszaken maar in deze: Netjes! Goed bezig!
20-03-2019, 09:14 door Anoniem
Door Anoniem: via www.webonderzoek-rijksoverheid.nl 3rd party tracking.
Site van BIT B.V.
Name server staat in USA: whois.psi-usa.info
Ehhh.. nee, want zoals het onderzoek dus toonde is er *geen* tracking gevonden.
Dit is gewoon een site die de naam "rijksoverheid" bevat, maar daar geen banden mee heeft?
Zoals je zelf zegt: een commerciele 3th party > BIT bv
20-03-2019, 09:26 door [Account Verwijderd] - Bijgewerkt: 20-03-2019, 09:33
Door Anoniem: Nederland doet het geniepiger en niet rechtstreeks,
maar via http://www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
Geen HSTS preloading, geen CSP header, geen refere-policy-header.
<knip>
luntrus

Die site meldt dat je 'm alleen met Internet Explorer kan bekijken.

Browser validation failed
Your browser does not qualify.
Use Internet Explorer instead.

Inderdaad, dat ga ik dus niet serieus nemen.
20-03-2019, 09:44 door Anoniem
Dan had die site in geval dit een fake(d) site is toch wel minstens neergehaald of gesinkholed moeten zijn. Slapen de autoriteiten weer, zoals wel vaker bij cyberzaken? BIT b.v. is toch wel above board?
luntrus
20-03-2019, 09:53 door Anoniem
BIT is het IT toetsbedrijf van onze Rijksoverheid. Als hun webpagina ook al niet meer veilig is voor scammers, berg je dan maar. Is het toch niet zo goed in de criminele vrijstaat.
#sockpuppet
20-03-2019, 15:39 door Anoniem
Door Anoniem: BIT is het IT toetsbedrijf van onze Rijksoverheid. Als hun webpagina ook al niet meer veilig is voor scammers, berg je dan maar. Is het toch niet zo goed in de criminele vrijstaat.
#sockpuppet

BIT BV is een hostingprovider. https://www.bit.nl/nl/over-bit/over-datacenter-bit
Als je het ip adres van www.webonderzoek-rijksoverheid.nl via RIPE opzoekt, zie je dat het ip adres van hen is.

De website staat overigens op naam van Ergo. Een bureau voor marktonderzoek. Zij nemen (zo te zien) weer diensten af van site4u.nl. Ik vermoed dat die weer een colocatie van BIT BV afnemen.
Ergo heeft op hun site weer een hoop overheidsinstellingen als referentie staan overigens.
20-03-2019, 18:45 door Anoniem
@ anoniem 15:39

Jouw relaas bevestigt het mijne en bewijst maar eens,
dat IT van onze rijksoverheid ook al reeds in flinke zin geprivatiseerd is via een marktonderzoeker.

Zie tevens https://toolbar.netcraft.com/site_report?url=TIPPEN.site4u.nl
Ik krijg hier een certificatie fout: NET::ERR_CERT_COMMON_NAME_INVALID

Zie ook: https://observatory.mozilla.org/analyze/tippen.site4u.nl[./url]Zie: https://observatory.mozilla.org/analyze/tippen.site4u.nl#third-partyZie dus ook hier: https://privacyscore.org/site/128785/D-graad scan resutaat: https://observatory.mozilla.org/analyze/www.ergo-webreporting.comASP.NET_SessionId given as not secure. See: https://observatory.mozilla.org/analyze/www.ergo-webreporting.com#third-partyGeen check op revocation uit te voeren;CAA Record: No Cipher Preference: Server selects preferred cipher Compatible Clients: Android 4.4.2, Apple ATS 9, BingPreview Jan 2015, Chrome 30, Edge 12, Firefox 31.3.0 ESR, Googlebot Feb 2015, IE 11, Java 8b132, OpenSSL 1.0.1h, Opera 17, Safari 5, Yahoo Slurp Jun 2014, YandexBot Sep 2014 OCSP Stapling: NoUpGuard Security Checks for http://www.ergo-webreporting.com/ via a quick and dirty 3rd aprty cold reconnaissance public scan (5) Domain at risk of being hijackedDomain registrar deletion protection not enabledDomain registrar update protection not enabledDomain registry deletion protection not enabledDomain registry transfer protection not enabledDomain registry update protection not enabledSusceptible to man-in-the-middle attacksHSTS header not prepared for preload list inclusionSecure cookies not usedPCI-DSS: Non-compliantDus allemaal nog niet "allemaal rozengeur en maneschijn" daar. luntrus
20-03-2019, 19:20 door karma4 - Bijgewerkt: 20-03-2019, 19:27
Door Anoniem:
Denk even niet dat alle Nederlandse ingezetenen hiervan op de hoogte zijn gesteld of bewust van zijn.(iron.)
luntrus
Dank je goed werk, duidelijk dat Amazon aws er tussen zit. Ik had al eens wat meer hints gezien. Verklaart veel waarom Amazon zo veel weet al zeggen ze van niets te weten. Werk wordt uitbesteed bij derden. Soms vind je wob.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2016/07%2F05%2Fbijlagen-bij-besluit-wob-verzoek-over-publieksonderzoek-rijksoverheid-az/01-verstrekte-stukken-deel-1-overzicht.pdf

Er komen wel eens wat berichten door over het gebruik van websites bij de overheid.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/03/09/eindrapportage-campagne-effectonderzoek-zorgverzekeringen-2017-2018/Rapportage%2Bcampagne_Zorgverzekeringen_Kantar_Public_en_MeMo2_definitief.pdf
Nog steeds een extern uitbesteed contract:
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2018/12/06/rijkscontracten/overzicht%2Bcontracten%2Bcategoriemanagement%2BRijk.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.