Verizon schikt voor 1,3 miljoen dollar met FCC om gebruik 'supercookies'

De Amerikaanse provider Verizon betaalt in een schikking 1,3 miljoen dollar, omgerekend 1,17 miljoen euro, aan de telecomtoezichthouder FCC. Het bedrijf moet dit bedrag betalen omdat het gebruikmaakte van zogenaamde 'supercookies' om gebruikers gericht advertenties te tonen.

De FCC stelt in zijn bekendmaking dat Verizon unieke headers, ook wel 'supercookies' of uidh's genaamd, in het mobiele verkeer van zijn klanten injecteerde om daarmee gebruikers te identificeren en vervolgens gericht reclame te kunnen vertonen. Dit gebeurde zonder dat de gebruikers dit wisten en deze praktijk werd niet beïnvloed door de privacyinstellingen van mobiele apparaten. Naast het te betalen bedrag moet Verizon vanaf nu gebruikers informeren over het gebruik van dergelijke headers en ervoor zorgen dat zij via een opt-in of een opt-out een keuze hebben. De FCC roept de praktijk dus geen volledige halt toe en met een omzet van 131 miljard dollar in 2015 is een dergelijke boete voor Verizon een druppel op de gloeiende plaat.

Toch wordt de boete door AccessNow, een internationale organisatie die zich inzet voor een vrij internet, gezien als een overwinning voor de rechten van gebruikers. AccesNow-beleidsmedewerker Peter Micek legt uit: "Deze actie schept een positief precedent tegen het sluipende volgen op internet, dat wereldwijd plaatsvindt. Wij gaan ervan uit dat andere toezichthouders, van Europa tot India, een voorbeeld nemen aan de FCC en dat andere telecombedrijven er notitie van nemen."

Aan de hand van de tool amibeingtracked.com stelde AccessNow in augustus 2015 een rapport op, waaruit bleek dat er in meerdere landen gebruikers worden gevolgd met supercookies, die dus eigenlijk headers zijn. Uit dat rapport bleek onder andere dat Vodafone in Nederland gebruikmaakte van dergelijke technieken, wat voor enige ophef zorgde. Later bleek het echter mee te vallen, omdat dit maar in een beperkt aantal gevallen ingezet werd.

In oktober 2014 werd het onder andere door het werk van de organisatie ProPublica publiek bekend dat Verizon unieke headers gebruikte om gebruikers te identificeren. In december van dat jaar begon de FCC met een onderzoek, waaruit bleek dat deze praktijk sinds eind 2012 door Verizon werd uitgevoerd.

IT-banen

Reacties (31)

Skyaero 8 maart 2016 12:03

Begrijp ik het goed dat Verizon een HTTP header toevoegd aan het verkeer waarin een unieke token staat waarmee jij geïdentificeerd kan worden? Een MitM attack dus.

Dat zou toch op te lossen zijn door op al het verkeer SSL toe te passen? Of denk ik nu te simpel?

Carharttguy @Skyaero • 8 maart 2016 17:41

SSL is zeker een optie, maar Verizon zou dat ook kunnen omzeilen, via deze manier:

Website <-----SSL------>Verizon<-----SSL------>Klant

Klant heeft niets in de gaten, Verizon leest lekker mee en injecteert alles waar nodig.

Armin @Carharttguy • 8 maart 2016 18:54

Klant heeft niets in de gaten

Klant krijgt een dikke SSL/TLS certificaat waarschuwing. Immers het certificaat dat Verizon aanbied past niet bij de site die jij bezoekt.

SSL/TLS decryption kan enkel indien het client-apparaat zo geconfigureerd is dat het de middle-man vertrouwt. Denk aan bedrijfs-computers die een MITM control van de bedrijfs-virussscanner wel vertrouwd, maar die van een stuk malware weer niet. De bedrijfs-administrator moet dan het root-certifciaat van de bedrijfs-server die de controle doet installeren op de client-computers.

Maar jouw eigen prive-telefoon heeft dat certificaat niet, en schreeuwt terecht moord en brand, want weet niet of die MITM server te vertrouwen is. Idem bij Verizon, gaat dat dus niet lukken.

aadje93 @Skyaero • 8 maart 2016 12:36

ssl is alleen voor encryptie, de header word gewoon meegevoerd dan

Armin @aadje93 • 8 maart 2016 18:48

De header is ook encrypted bij SSL/TLS zoals gebruikt bij HTTPS. Het enige wat men kan zien is het IP-adres (plus eventueel wat leakage via HTST, maar dat is een ander verhaal).

Dus men kan bijvoorbeeld zien dat je Bing gebruikt, maar niet of je zoekt naar een verjaardagscadeau voor je zoon, of informatie opzoekt betreft een enge ziekte

Vaevictis_ @Skyaero • 8 maart 2016 12:38

Zonder hier de specifieke details te kennen. Ja dat is te simpel. Ze werken vaak met proxies en SSL decryption. Dan kun je dus wel SSL verkeer aanbieden aan de client maar wel de content lezen en deze ook aanpassen (ze spreken over ad injection).

Dit is natuurlijk een security drama (en privacy hell). Wie weet wat ze met deze informatie nog meer doen? Boete stelt natuurlijk niets voor. Doe dan gewoon 10% van de omzet, dat leert ze dit soort streken wel af.

Armin @Vaevictis_ • 8 maart 2016 18:50

Ze werken vaak met proxies en SSL decryption.

Dat werkt niet, aangezien dat een MITM aanval is. Je krijgt dan een vet rood kruis in je browser. Goed niet bij Android, want die cotnroleert certificaten zelden, maar op veel andere OS'en wel.

Verizon deed het dan ook enkel bij HTTP. Merk verder op dat Vodafone Nederland het ook deed, en ik gelook T Mobile Nederland ook ooit een experiment op dit gebied deed. Idem bij het Amerikaanse AT&T. Dus het is een breed gebruikte techniek.

Armin @Skyaero • 8 maart 2016 18:46

Dat zou toch op te lossen zijn door op al het verkeer SSL toe te passen? Of denk ik nu te simpel?

Nee, dat was dan ook een uitstekend emanier om dit te omzeilen. Of een VPN.

maar het is natuurlijk van de zotte dat dat moet. Plus dat apps etc soms nu eenmaal geen HTTPS gebruiken en je daar weinig aan kan doen.

Chayan71 8 maart 2016 11:48

Hoe is dit anders dan wat bijvoorbeeld Facebook en Google doen? Waarom niet eindelijk beslissen of gericht adverteren is toegestaan of niet? En als dit mag natuurlijk wel ervoor zorgen dat data alleen gebruikt mag worden om te adverteren en dat er niets doorverkocht mag worden. Hier zou men eigenlijk gevangenisstraf op moeten zetten.

Aikon @Chayan71 • 8 maart 2016 14:04

Dit gebeurd op het niveau van de internetprovider en zonder medeweten v/d gebruiker, het is daardoor dus totaal anders dan wat Google of Facebook doet.

kozue @Aikon • 8 maart 2016 19:00

Google code op websites (zoals onder andere op tweakers.net!) stuurt ook informatie over jou door naar Google terwijl jij geen idee hebt dat je bij het bezoek aan zo'n site iets met Google te maken hebt. Zelfde voor al die social media buttons die facebook, twitter, etc de hele dag door vertellen waar jij geweest bent zonder dat je ooit hebt ingestemt met hun voorwaarden voor dataharken of het idee hebt dat je social media bezocht hebt. Net als Verizon dus, die dit soort dingen achter je rug om doet.

Jammer dat er zo weinig mensen zijn die iets om hun privacy geven. Anders zou zo'n provider na dit soort berichten zoveel klanten verliezen dat ze kunnen sluiten. Maarja, we weten ook hoeveel mensen er staan te springen om hun hele leven op facebook te kwakken, en dat soort lui zal het worst wezen wat Verizon met hun persoonlijke data doet.

Aikon @kozue • 8 maart 2016 19:34

Sorry? Ik geef heel veel om mijn privacy.

Stiekem een unieke volgcode injecteren op ISP-niveau is van een totaal andere orde dan een doodsimpele cookie na het al dan niet bewust aanvaarden van algemene voorwaarden die doorgaans prima te vinden zijn, maar niet gelezen worden. Ik ben het niet eens met die cookies (die op die manier gebruikt worden althans), maar dat is iets tenminste iets waarvan je kan lezen wat het doet en wat je kan zelf bestrijden.

[Reactie gewijzigd door Aikon op 25 juli 2024 08:12]

kozue @Aikon • 8 maart 2016 19:43

Ik had het niet over jou specifiek maar over het algemene geval. Jij weet misschien hoe je je moet wapenen tegens googles en faceboeken maar de gemiddelde gebruiker niet. Voor de massa zijn Google en Verizon hier exact hetzelfde. En de reactie op hun praktijken waarschijnlijk ook. Ondanks al het gespioneer van Google en Facebook zijn ze nog steeds marktleider ipv dat men er massaal van afstapt.

Deze isp-tracking kan ik ook prima bestrijden hoor. Als mijn provider dit zou doen zou ik per direct overstappen naar een andere. Net zoals ik Google ook allang al verruild heb voor Duckduckgo.

Aikon @kozue • 9 maart 2016 08:45

Lees nou eens een keer goed, is dat nou echt zo moeilijk? Je kan je niet wapenen tegen Verizon en wel tegen Google. Ja behalve niet van de dienst gebruiken maken natuurlijk, das nogal logisch en altijd van toepassing. Maar dan nóg moeten de praktijken van Verizon eerst uitlekken aangezien ze het stiekem deden.

hanwrath @Aikon • 8 maart 2016 21:47

De vraag is, wie verbiedt dit?
Wie zou hierover een zaak aan kunnen spannen? Wie doet onderzoek hiernaar om de constatering in de eerste plaats te kunnen maken dat zulke headers worden meegestuurd?

Voor wat betreft cookies staat het een en ander vast in de telecommunicatiewet. Specifiek op 'tracking cookies' is de wet bescherming persoonsgegevens van toepassing, hierbij houdt het voormalige CBP, nu de Autoriteit Persoonsgegevens zich bezig met het naleven van deze regels.

Zulke headers staan niet zo specifiek in bovenstaande wetten beschreven als bijv. cookies, maar zouden onder bepaalde omstandigheden (indien eenvoudig via fingerprinting te koppelen aan browser cookies, andere identiteitskenmerken van gebruikers) wel degelijk te classificeren zijn als persoonsgegevens (net zoals een IP-adres volgens het AP ook 'soms' telt als 'persoonsgegeven').
In dat geval liep Vodafone deze potentiële persoonsgegevens mogelijk te lekken naar de door hen niet nader gespecificeerde lijst van 'sommige' websites waarbij deze X-VF-ACR header mee werd gestuurd. Vodafone heeft daarbij als officiële reactie gegeven dat zij geen persoonsgegevens aan derden verstrekten zonder toestemming van de gebruiker.
Daarmee was het gedaan. Hier is geen verder onderzoek uitgevoerd naar de aard van deze headers.

Vodafone heeft deze headers zelfs jarenlang gebruikt (tot vorig jaar), heeft nooit een boete hoeven incasseren.
Ze hebben het voor zover ik weet het nooit zo boud gemaakt als Verizon, geen advertenties. Een tik op de vingers had ik echter wel verwacht.

bron: onderstaand artikel is uit 2012 (niet toen ze hiermee begonnen, toen een student dit bij toeval tegenkwam bij zijn onderzoek):
https://www.computable.nl/artikel/nieuws/internet/4383919/1282763/vodafone-wij-spelen-klantinformatie-niet-door.html

Voor die header was ook geen opt-in of -out voorhanden, dat konden zij verdedigen door te beweren dat de header 'slechts bij enkele sites' werd meegestuurd om 'technische' redenen.
Welke specifieke sites was daarbij voor de gebruikers van Vodafone onbekend.

Hetzelfde principe is van toepassing op de cookies. Kennelijk vindt de 2^e kamer het belangrijk genoeg om er een wet (en dus consequenties, straffen) aan te verbinden (besproken ten tijde van publicatie van bovenstaand artikel), maar feit is en blijft dat het grootste deel van de gebruikers niet geïnteresseerd is en gewoon tracking cookies laat plaatsen.
Hier speelt misleiding ook een rol: veel van de cookiemeldingen vragen consent voor o.a. het plaatsen van 'puur technische' cookies en binden dit aan dezelfde opt-in pop-up voor de tracking cookies. Voor de louter technische cookies (denk loginmechanismen) is (inmiddels) geen consent pop-up nodig, toch beweren ze dat je zonder tracking cookies een kapotte website voorgeschoteld zal krijgen.

Privacywetgeving m.b.t. tracking is dus bij voorbaat al kreupel / niet dicht te timmeren, tot een echte boete of zaak zoals deze zal het nooit komen hier wegens een gebrek aan handhaving.
De werkelijkheid is dat het businessmodel van de advertentiebedrijven waarop het halve internet drijft niet te verenigen is met het concept privacy.

Ik vind de term 'anonymous' customer reference overigens erg geestig.

Overigens, wat is die belofte van Vodafone waard? Noem eens een voorbeeld van zo'n website waarbij de header selectief door Vodafone is meegestuurd?
Na wat zoeken een firsthand report van ons eigen tweakers forum

"Partner websites zoals targetpay.mobi gebruiken die header om zonder duidelijke toestemming je een €5 euro per week abbo aan te smeren.
Dit doen ze dan door een request te doen bij Vodafone om je 06 nummer te achterhalen via de X-VF-ACR header."
( http://gathering.tweakers.net/forum/list_messages/1588458 )
Legit dus, dat gebruik van headers door Vodafone. Top voor de Jamba's van deze wereld.

[Reactie gewijzigd door hanwrath op 25 juli 2024 08:12]

Alcmaria @Chayan71 • 8 maart 2016 12:24

Waarschijnlijk omdat je bij Google en Facebook expliciet akkoord bent gegaan met de voorwaarden (ook al leest niemand deze).. en Verizon dit zonder te melden en vragen aangezet heeft.

Iblies @Chayan71 • 8 maart 2016 12:31

Dat komt omdat er ongelooflijk veel bureaucratie is waarbij geconstateerd moet worden dat bij diegene die het beleid maken er een gebrek is aan de juiste kennis.

Niet alleen in Nederland, EU, VS maar het is een globaal probleem.

Google is een voorbeeld dat tot de verbeelding spreekt,
het monitort miljoenen mensen al dan niet indirect via een account tbv marketing. Zelfs de email wordt gescand voor meer gerichte advertenties. Aan de hand van al die gegevens wordt er een 'persoonlijk' profiel opgezet.

De praktijk geeft aan dat je nooit iedereen hoeft na te gaan om een goed beeld te krijgen. Met een gerichte steekproef kun je al bergen verplaatsen.

De vraag die gesteld moet worden is waarom het getolereerd word. Al die bergen informatie die google opslaat heeft marketing-technisch praktisch geen toegevoegde waarde. Wat ze doen is heel veel persoonlijke gegevens vergaren waar ze vervolgens als commercieel bedrijf te pas en te onpas conclusies uit trekken.
Want als de advertenties daadwerkelijke persoonlijk zijn, vraag ik me af hoe ze tot de conclusie komen dat we als samenleving altijd te dik zijn, altijd hunkeren naar een relatie, erectieproblemen hebben, altijd interesse hebben om binnen een week een pak geld te verdienen, etc, etc.

De daadwerkelijke reden van al het vergaren is gissen en kan op termijn meer kwaad dan goed doen. Facebook en werkgevers bijvoorbeeld.

Knutselmaaster 8 maart 2016 12:45

Is er een manier om van je eigen apparaten cq browsers te zien welke informatie in die header zit?

Zenomyscus @Knutselmaaster • 8 maart 2016 13:45

Is er een manier om van je eigen apparaten cq browsers te zien welke informatie in die header zit?

Je kunt met Wireshark je verkeer bekijken. Mogelijk dat Firebug (plugin voor Firefox) ook voldoende is, daar zijn headers ook te bekijken.

Edit: voor mobiel gebruik zijn waarschijnlijk minder mogelijkheden. Maar ook dan kun je je verkeer afvangen via je router / wifi verbinding.

[Reactie gewijzigd door Zenomyscus op 25 juli 2024 08:12]

Armin @Knutselmaaster • 8 maart 2016 18:59

Er zijn diverse test sites.
Denk o.a. aan:

http://checkyourinfo.com/request

Zorg er wel voor dat je niet op WiFi zit, want anders werkt eventuele provider-injectie niet uiteraard

Knutselmaaster @Armin • 8 maart 2016 23:21

Bedankt voor je linkje, niets verdachts te zien in mijn geval.
Ik heb overigens dezelfde provider voor mobiel als vast. (Frankrijk)
Ik denk er nu pas aan dat ik makkelijk mijn headers kan uitlezen als ik mijn eigen webserver bezoek...

[Reactie gewijzigd door Knutselmaaster op 25 juli 2024 08:12]

mashell 8 maart 2016 12:16

Interessant is dat men dit gedrag afwijst van wege privacy zorgen maar niet vanwege netneutraliteit.

OrangeTux @mashell • 8 maart 2016 13:31

Wat heeft dit te maken met netneutraliteit? Correct me if I'm wrong maar netneutraliteit heeft te maken met het ongelijk behandelen van verschillende soorten internetverkeer als het gaat om doorvoersnelheid. Dit heeft daar toch weinig mee te maken?

mashell @OrangeTux • 8 maart 2016 13:47

Onder netneutraliteit worden verschillende dingen verstaan, de definitie is niet eenduidig. Geen weging toepassen op verschillende typen verkeer is een definitie maar dat wordt vaak gewoon toegestaan (zoals in de Nederlandse wet). Geen betaling verlangen voor priorisering van bepaalde typen verkeer (zowel afnemer als aanbieder) is een andere definitie. Maar in de basis is netneutraliteit gewoon het onveranderd doorlaten van verkeer en dat is wat Verizon hier duidelijk niet deed.

Armin @mashell • 8 maart 2016 18:57

Onder netneutraliteit worden verschillende dingen verstaan, de definitie is niet eenduidig.

Klotp, maar daarom hebben we tegenwoordig een wet in de USA en richtlijn in de EU die ons vertellen wta wel en niet eronder valt. Dit niet, want verkeer wordt niet anders behandeld.

Maar in de basis is netneutraliteit gewoon het onveranderd doorlaten van verkeer en dat is wat Verizon hier duidelijk niet deed..

Dat is een verkeerde voorstelling van netneutraliteit. Internet bits kunnen niet onveranderd doorgelaten worden. Op talloze protocollagen is het de gewoonste zaak van de wered paketjes open te breken en te veranderen. Of te cachen.

Headers toevoegen mag dus best in netnuutraliteit.

Niet in het kader van privacy echter.

S.Robin 8 maart 2016 11:40

Lekkere boete, daar gaan ze vast van leren

Alcmaria @S.Robin • 8 maart 2016 11:41

dat wilde ik net zeggen.. Verizon en 1,3 miljoen dollar.. dat hebben ze waarschijnlijk uit de fooienpot gehaald.

Nas T @Alcmaria • 8 maart 2016 11:55

Erger vind ik dat we als consument klagen en dit morgen waarschijnlijk vergeten zijn. Ook bekritiseren we het beleid, terwijl de foute partij buiten schot blijft. En ik ook, helaas.

Ik probeer zoveel mogelijk de slechte appels niet te vergeten en ze te boycotten, als ik kan. Zo wil ik niet terug naar Android/Samsung, met het slechte updatebeleid. Android betekent ook reclame en vage privacybescherming. Maar ondertussen wel 70% winst op Android maken. Wat mij betreft boycotten dus.

polopolo150 @Inenting • 8 maart 2016 11:41

Dat zie je hier: http://tweakers.net/plan/

Inenting @polopolo150 • 8 maart 2016 12:36

Nee ik bedoel dat tweakers niet benaderbaar is op veel devices of dat de thema van tweakers niet laad en dat ik soms een bericht zie dat transip domein heeft geblokkeerd

Op dit item kan niet meer gereageerd worden.

Verizon schikt voor 1,3 miljoen dollar met FCC om gebruik 'supercookies'

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: