Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Tweakers Awards 18/19

Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? De Tweakers Awards stembussen zijn nog drie dagen open. Laat je stem gelden en ontvang 50 ippies. Bovendien maak je kans op een Sony PlayStation 4 Pro 1TB, GoPro Hero 7 of Sonos One.

Stemmen

Skyscanner stopt doorsluizen data naar Facebook via sdk-implementatie

Vliegticketsite Skyscanner gaat een update uitbrengen voor zijn Android-app om het verzenden van data naar Facebook te stoppen. Uit recent onderzoek bleek dat Skyscanner en diverse andere apps bij het opstarten gegevens doorsturen naar servers van Facebook.

Skyscanner heeft een update gemaakt van zijn app die geen data meer doorgeeft aan Facebook, al is die in de Benelux nog niet verschenen in de Play Store. Dat gebeurt vermoedelijk binnenkort. Daarmee is de reiswebsite de eerste die de app heeft aangepast naar aanleiding van bevindingen van het Britse Privacy International. Die kwam erachter dat Facebook bij bepaalde apps kan bijhouden hoeveel mensen ze opstarten en hoe lang iedereen die apps gebruikt.

Het doorsturen van zulke data zonder toestemming staat mogelijk op gespannen voet met de Europese privacyregelgeving AVG. Behalve Skyscanner vond de Britse organisatie de tracking ook terug bij apps als Spotify, Duolingo en TripAdvisor.

Het maakt daarbij niet uit of mensen bij Facebook zijn ingelogd of niet of zelfs een Facebook-account hebben. Als een app geen Facebook-id kan doorsturen, gebruikt het Googles Android Advertising ID (AAID). De melding, een call naar graph.facebook.com, maakt duidelijk dat een gebruiker een app opent en andere calls maken duidelijk wanneer gebruikers de app sluiten.

Dat hoeft bij gebruik van de sdk niet meer. Facebook heeft een functie ingebouwd om het doorsturen van data uit te stellen tot na toestemming, maar die lijken veel ontwikkelaars van apps nog niet te hebben ingebouwd.

Door Arnoud Wokke

Redacteur mobile

02-01-2019 • 17:11

66 Linkedin Google+

Reacties (66)

Wijzig sortering
En de kern van deze presentatie:

Applicaties die Facebook analytics API's gebruiken versturen meer data naar Facebook dan je als gebruiker [en app ontwikkelaar] zou verwachten. In het verleden stuurde de applicaties zelfs bij hun eerste keer starten data naar Facebook, dus zelfs voordat een eventuele consent popup getoond is.

Wanneer een gebruiker in zijn Android settings aangeeft dat hij geen gepersonaliseerde advertenties wil ontvangen wordt er zelfs meer data verstuurd. Het is onduidelijk waarom zit zo geïmplementeerd is.
"Het is onduidelijk waarom zit zo geïmplementeerd is."

Om profielen te maken van mensen die geen advertentie willen zodat ze onderzoek kunnen doen wat er mis is met die mensen. Dit zal van pas komen als Zuckerberg president van Aarde is.
Dat is een *extreem* groot compliance risico.

Ik denk zelf eerder door een bug of om toch relevante advertenties te tonen zonder een profiel te bewaren.
https://www.skyscanner.ne...vacy-international-report

Als je het statement goed leest, blijft Skyscanner de Facebook SDK gebruiken. Enige verschil is dat deze nu je data nog steeds naar Facebook doorstuurt maar pas nadat je op toestemming hebt gedrukt (wat 9 van de 10 mensen automatisch doen).

Skyscanner doet dus niets anders dan de Facebook SDK updaten en goed implementeren.

Dit staat helemaal niet duidelijk vermeld in dit Tweakers artikel vind ik. Feit blijft dat elke partij die aan adverteren doet niet om Facebook heen kan (of in elk geval denkt er niet omheen te kunnen) en dus wel Facebooks tracking nodig heeft voor zinvolle marketing, ook buiten Facebook/als je geen Facebook hebt. Net zoals tracking met Google nodig is.

Het staat overal eng geschreven dat apps data sturen naar Facebook, maar in werkelijkheid miste alleen het zinnetje in een consent melding als je de app/service voor het eerst ging gebruiken.
en dat laatste houdt in dat het allemaal voor niks is geweest; ook zonder consent hoort het te werken en dat die functionaliteit niet benoemd wordt zegt vervolgens genoeg; een hele grote wassen neus.
En gaan ze dit ook voor iOS doen? Zie de bevindingen van hp-got in 'nieuws: Facebook weet van alle Android-gebruikers hoe vaak ze bepa...

De zoveelste keer dat bewezen wordt dat ook gebruikers die geen facebook account hebben toch actief gevolgd worden door dit bedrijf en dat er dus een compleet schaduw profiel aanwezig is.
Zou het schaduw profiel ook gewist worden als je een "verzoek tot vergeten" indient vraag ik me af...
Ik ben van mening dat schaduwprofielen sowieso verboden moeten worden. Ik heb nergens toestemming voor gegeven dus waarom mag Facebook en zo dan wel data verzamelen? Omdat het zogenaamd anoniem is?
Inderdaad zogenaamd, omdat ze de data niet direct kunnen linken aan een Facebook-profiel.
Maar waarschijnlijk wel verbanden kunnen leggen tussen jouw device ID, contacten, apps. Ik kan mij niet voorstellen dat er geen update komt op GDPR om deze design fouten in wetgeving te repareren.
Er is heus geen update aan de GDPR noodzakelijk (dergelije dingen zitten erin vervat).

Wat wel nodig is is een krachtdadig optreden van Europa... de hoeveelste Facebook overtreding is dit al sinds de GDPR gestart is ? Is dit het zoveelste bewijs dat GDPR gewoon een lege doos is ?
Sterker nog; het bewijzen van afwezigheid van een schaduwprofiel mag van mij alsnog een verplichting worden. Dan kan je er misschien wat mee als voor de zoveelste keer blijkt dat ook dat niet waar is.
Alleen is het onmogelijk te bewijzen dat je iets niet hebt...
het gaat dan ook meer om de toezeggingen; als facebook verplicht is toezeggingen te maken op basis van het recht vergeten te worden ontstaat er enige druk om er ook daadwerkelijk wat mee te doen; als achteraf het schaduwprofiel alsnog zou blijken te bestaan beschouw ik een heel dik juridisch proces als niet mjnder dan een logisch resultaat.
Vast niet... want officieel weten ze niet van wie dat is...
Ze zullen ongetwijfeld zeggen van wel. En bij een echte audit blijkt dan inééns dat er toch bepaalde data uit dat profiel per abuis niet gewist is en nog gewoon beschikbaar is. En dan maakt één of andere woordvoerder zijn (m/v) excuses en belooft beterschap, en dan krijg je een uitgebreide blog van Zuckerberg waarin in veel wollige ambtenarentaal uitgelegd wordt dat ze dit intern besproken hebben en aan verbeterplannen werken.

En na een maand of wat begint het feest vrolijk overnieuw.

[Reactie gewijzigd door DigitalExcorcist op 3 januari 2019 16:16]

Met ios los je niks op. Na het lezen van het bericht, heb ik gister toch maar eens een pi-hole opgezet en ook vanaf ios wordt graph.facebook volop aangeroepen.
Helaas begon de vriendin alweer te zeuren dat ze facebook niet kon bekijken.
Klassieke geval van niets is gratis.

Mensen verwachten soms te veel en oh wee als het niet gratis is.
We moeten eens wakker worden en beseffen dat als je ergens gebruik van wilt maken dat bijna nooit volledig gratis is, vervang geld met persoonlijke info en dan merk je snel dat je toch voor alles betaald.

Voor zulke bedrijven is het haast onmogelijk om servers en dergelijke te onderhouden zonder kosten. Hell, er werken zelfs mensen die betaald moeten worden. Money got to come from somewhere. Facebook to the rescue.
Behalve dat ik dus voor Spotify gewoon betaal en ze dan dus alsnog mijn data gaan misbruiken.
Sorry maar Skyscanner verdient meer dan genoeg aan affiliate-inkomsten om zichzelf financieel te bedruipen dus je hoeft zeker niet te verwachten dat een applicatie zoals deze, die een zeer duidelijke bron van inkomsten heeft dat ze óók nog al je data naar Facebook doorsluist.
Spotify verdient ook veel en je betaalt ervoor en sluist het door 8)7 bij Skyscanner begrijp in de actfie wel dan. Bij Spotify namelijk niet.
Ze verdienen veel maar zijn ze winstgevend?
Dat is het punt toch niet?

Ze vragen maandelijks een bedrag wat bij Skyscanner toch niet zo dan is het logischer en klinlt logischer
Als ik de Skyscanner app gebuik maar geen ticket koop, hoeven ze daar toch niks aan te verdienen? Blijkbaar was er iets wat me niet beviel.

Ter vergelijking: als ik de Praxis binnenloop, en verlaat de winkel weer zonder iets te kopen, verdienen ze er ook niks aan. En als een hoop klanten dat doen gast de toko failliet.

Ik zou echt niet weten waarom dat bij een online dienst als Skyscanner anders zou moeten zijn.
Was het bij Spotify niet juist andersom dat zij toegang kregen tot Facebook data die "normale" derde partijen niet kregen?
Kolder en lekker ongenuanceerd! Zelfs al zou ik die app skyscanner hebben dan ben ik, als NIET Facebook gebruiker, nog steeds niet gediend van stiekem data vergaren door derde partijen. Wellicht moet je dan zelf eens wakker worden, ik betaal graag voor diensten die ik gebruik, maar dit is stiekem data vergaren door een derde partij.
De enige reden dat ik geld kost voor Facebook is omdat zij echt alle moeite doen om mij te tracken terwijl ik dit niet wil. Moet ik betalen voor iets waar ik geen nood aan heb? Voor iets dat ik actief probeer te vermijden? Facebook, maar ook Google zijn bedrijven die enorm veel geld verdienen, maar blijkbaar niet genoeg hebben aan de data die ze verzamelen van hun gebruikers.
Echt onzin kerel.....ik gebruik geen FB en nog kunnen zij zien/track wat ik doe :? WTF!!!

Het gaat hun niks aan wat ik doe of ben je naïef?
Als iets voor niets is gaat er bij mij belletjes rinkelen.

FB to the rescue?...
Waarom?
Voor mij mag dat bedrijf failliet gaan.zij misbruiken de wet en dan komen zij ermee weg.
Te kort door de bocht. Ik verwacht een prijsvergelijking, maar niet dat en passant mijn gegevens stiekem worden doorgesluisd naar, godbetert, Facebook.

Ik krijg ook gratis huis-aan-huis-bladen, maar ik verwacht niet dat de bezorger door de ramen gaat staan kijken hoeveel mensen er in huis zijn, hoe laat ik eet en welke TV-programma's ik kijk en dat dan doorgeeft aan de uitgever, die op zijn beurt dat dan doorverkoopt aan zijn adverteerders. Ik denk dat dan het land te klein zou zijn.

Maar als het om Facebook gaat en z'n praktijken, dan hebben we opeens "sympathie"?? Als je iets slechts maar vaak genoeg herhaalt, dan wordt het niet opeens goed.

[Reactie gewijzigd door Sunthon op 3 januari 2019 09:27]

Lekker dan. Ik wil niets met fb te maken hebben maar gebruik wel Spotify. Dus nu alsnog. Wat kan ik hier aan doen, of moet ik wachten totdat ze met een nieuwe versie komen?
Wat je kan doen is Blokada installeren:

https://blokada.org/

Deze maakt een interne VPN verbinding en blokkeert daarmee requests naar urls als *.facebook.com
Maar ook daar zijn talloze omwegen voor te bedenken. Ik zit zelf in de advertisement wereld en als we merken dat een domein geblokkeerd wordt, ach dan registreren we gewoon een nieuw domeintje voor een paar euro en dan kunnen we weer knallen! En in deze push wereld is het ook nog eens doodeenvoudig om een nieuwe update uit te rollen, dus niemand merkt er iets van. En als Facebook slim is hebben ze ook server to server apis voor hun third parties.
En dan wil ik (m.i.) de echte kernvraag bot op tafel werpen;
Als je sprongen door brandende hoepels moet gaan maken om nog de huidige bedrijfsvoering voort te kunnen zetten en keer op keer eindgebruikers technisch steeds-vernuftigere methodes in gaan zetten... wordt het dan niet tijd om tot bezinning te komen voor elke eindgebruiker een volledige DNSBL/RBL-lijst voert met reverse-lookups en de bedrijfsvoering niet langer theoretisch maar ook in de praktijk volledig onhoudbaar is geworden?

Het is inmiddels allang duidelijk dat degenen waar je deze technologische oorlog tegen voert zich enkel probeert te verdedigen tegen de verzamelwoede; hoe praat je dat recht? omdat het geld doet rollen? dat doet de echte misdaad namelijk ook.

Want laat ik eerlijk zijn; in alle andere branches hadden dit soort tekenen niets anders ingehouden dan dat het tijd wordt te zoeken naar een nieuwe vorm van bedrijfsvoering... niet het voeren van een oorlog puur omdat er (nog!) geen volledige juridische basis is die onomstotelijk verwoordt waarom dit zo not-done is.
Brandende hoepels? Laffe verkeersdrempels bedoel je. :P
Maar ook daar zijn talloze omwegen voor te bedenken. Ik zit zelf in de advertisement wereld en als we merken dat een domein geblokkeerd wordt, ach dan registreren we gewoon een nieuw domeintje voor een paar euro en dan kunnen we weer knallen! En in deze push wereld is het ook nog eens doodeenvoudig om een nieuwe update uit te rollen, dus niemand merkt er iets van. En als Facebook slim is hebben ze ook server to server apis voor hun third parties.
Mag ik dat even zwart op wit?
En de naam van je werkgever?
Dan kan ik even een berichtje richting de Autoriteit Persoonsgegevens sturen.

Wat jullie doen kan nl. wettelijk hoogstwaarschijnlijk niet door de beugel. Volgens de AVG mogen gebruikers hun keuze om gegevens niet te delen met derden, kenbaar maken via een geautomatiseerde wijze die gebruikt maakt van een breedgedragen standaard-techniek of -technologie. Bedrijven zijn daarna gehouden zich aan deze voorkeur te houden.

Het blokkeren van domeinen middels een black-list is hoogstwaarschijnlijk te formuleren als zo'n breedgedragen standaard. Alle ad-blockers werken immers op die manier en van zo'n slordige 30% van alle gebruikers wereldwijd wordt geschat dat ze een ad-blocker plugin in hun browser hebben draaien; of een network-level oplossing zoals pihole gebruiken.

Domeinen rouleren om doelbewust dit soort door gebruikers opgelegde blokkades te omzeilen betekent dat je de voorkeur van de gebruiker niet honoreert en is dus waarschijnlijk illegaal.

[Reactie gewijzigd door R4gnax op 3 januari 2019 23:08]

Blokada voldoet zeker niet voor alle zaken, ik zie ook nog reclames op mijn telefoon terwijl Blokada aan staat.

Maar voor zover ik kan zien voldoet het in deze situatie wel, aangezien deze apps rechtstreeks graph.facebook.com aanroepen. Dat gedeelte wordt in ieder geval geblokkeerd. Wat Skyscanner en Spotify vanuit hun eigen infrastructuur doorsturen naar Facebook is natuurlijk niet tegen te gaan op deze manier.
Heb ik ook gedaan naar aanleiding van het bericht van BPI. De DNS requests van mijn telefoon naar graph.facebook.com (en andere tracking meuk) zijn als sneeuw voor de zon verdwenen :D

Thuis niet zo'n probleem want PiHole vangt alle social notwork dingen wel zo'n beetje af. Maar onderweg was een ander ding. Blokada heeft dat lek voor mij iig gedicht :Y)

Edit: grammatica blijft een dingetje :(

[Reactie gewijzigd door S.J.Onnie op 2 januari 2019 18:14]

Je kunt toch ook een pivpn installeren die vervolgens je pihole als DNS heeft? Dat heb ik tenminste
4G voor thuis met datalimiet :( dus liever Blokada dan VPN naar huis
Probleem is dan vooral dat je je hele internetervaring 'crippled'. De helft van je zoekresultaten functioneert niet meer, Google Shopping werkt niet meer (als je ads blocked), linkjes die niet geladen worden, broken links/images, ga zo maar door.
Probleem is dan vooral dat je je hele internetervaring 'crippled'. De helft van je zoekresultaten functioneert niet meer, Google Shopping werkt niet meer (als je ads blocked), linkjes die niet geladen worden, broken links/images, ga zo maar door.
Ik draai al jaren ad-blockers. Eerst AdBlock Plus, en toen zij sell-outs bleken te zijn, uBlock Origin.
Geabboneerd op de standaard block lists, plus wat eigen toevoegingen. En ik heb in bijna een decennium tijd nog nooit echt ergens problemen mee gehad.

Goede ad-blockers gaan een tikkeltje verder dan botweg domeinen blokkeren, maar blokkeren selectief bepaalde soorten requests; injecteren alternatieve content om om anti ad-block maatregelen heen te werken; etc.
Ja dat klopt. Maar *.facebook.com blokkeren is simpelweg erg lastig. Voor jezelf valt het te overzien, maar er is ook nog een WAF (Wife Acceptance Factor), en kinderen die wel eens wat willen doen. Die ga ik niet opleggen waar ze wel en niet in mogen. Uitleggen wat de risico’s zijn: prima. Maar een harde blokkade.. Meh...
Ja dat klopt. Maar *.facebook.com blokkeren is simpelweg erg lastig. Voor jezelf valt het te overzien, maar er is ook nog een WAF (Wife Acceptance Factor), en kinderen die wel eens wat willen doen. Die ga ik niet opleggen waar ze wel en niet in mogen. Uitleggen wat de risico’s zijn: prima. Maar een harde blokkade.. Meh...
Tja; dan kun je het niet network-level oplossen. Maar nog steeds wel device-level (enkel voor je eigen phone) of profile-level (enkel binnen de browser plugins van je eigen user account).
Wauw super! Dankjewel! Ik ga het meteen installeren :)
Bedankt voor de tip. Gelijk even geprobeerd en ben geschrokken wat er allemaal op de achtergrond wordt aangeroepen. En hoevaak Facebook en Google voorbij vliegen.

Ook vanuit apps waar ik voor betaal of een betaalde dienst bij zit.

[Reactie gewijzigd door Caayn op 3 januari 2019 00:16]

Naar aanleiding van het vorige nieuwsbericht over die sdk heb ik mijn pihole aangepast zodat *.facebook.com wordt geblokkeerd. En dan zie je pas hoeveel *.facebook requests er gedaan worden ook al heb je geen facebook geinstalleerd.
Voor Facebook kan je ook deze library toevoegen... https://github.com/imkarthikk/pihole-facebook
Daar heb je twee lijsten, 1 voor FB en de andere voor WhatsApp.
Ik gebruik liever mijn eigen blacklists. In het verleden wel eens met externe lijsten gespeeld en vervolgens deed niks het meer.

Edit: zoals ik het nu zie is het toevoegen van een wildcard op Facebook.com,facebook.net,tfbnw.net,fb.me,fbcdn.net al redelijk voldoende.

[Reactie gewijzigd door Webgnome op 3 januari 2019 07:14]

Dus als je geen toestemming geeft, stelt de app het opsturen van data uit. Dus ze loggen het wel ? Vind ik ook niet kunnen.
Als we nu gewoon allemaal Facebook is evil gaan roepen dan raken we al die integratie ook lekker kwijt...

Vieze data graaiers zijn het

[Reactie gewijzigd door well0549 op 2 januari 2019 17:56]

Doen we dat al niet jaren? De niet naivelingen onder ons dan.
Doen we dat al niet jaren? De niet naivelingen onder ons dan.
We moeten gele anti Facebook hesjes gaan maken met Facebook is evil er op.
Ik heb het eerder gezegd, de overheid moet eens met megaboetes komen van €5.000.000 - 50.000.000 per geval wanneer iemand zijn/haar privacy geschonden wordt. Bij 1 miljoen logins bij Skyscanner/Facebook hebben we € 5-50 biljoen aan boetes. Directieleden en hoger management van beide bedrijven hoofdelijk aansprakelijk stellen en kaalplukken tot ze moeten bedelen voor een stukje brood.
Dat zou inderdaad eens een begin zijn i.p.v. al die toneelstukjes waar we steeds maar mee opgescheept worden.

Ik ben inmiddels steeds meer een voorstander te worden voor het invoeren van de doodstraf voor dit soort extreem hardleerse gevallen.
Doodstraf gaat me te ver. Maar vaak met dit soort bedrijven is het ingecalculeerd. De winst die ze maken is vele malen groter dan de laffe boetes die opgelegd worden.

In vergelijk met verkeersboetes voor de gewone burger is een boete voor een beursgenoteerd internationaal bedrijf erg laag.
Ik ben eigenlijk een zeer vredelievend persoon en ik heb een hekel aan geweld e.d. maar in de afgelopen decennia is het me steeds meer gaan opvallen dat (in het algemeen) geldt: hoe "humaner" en "toleranter" het wordt hoe harder de boel ook uit de hand loopt en hoe verder de grenzen te zoeken zijn.

Dit soort mensen is ronduit psychopaten te noemen die gewoon nooit zullen leren. De geschiedenis heeft dit inmiddels al zovaak aangetoond. Dit soort mensen heeft nooit spijt van wat ze geflikt hebben. Ze hebben spijt dat ze gepakt en/of aangepakt zijn.

En dat soort lui moet je definitief de mogelijkheden ontnemen om de samenleving verdere schade te berokkenen.

[Reactie gewijzigd door VOODOO_WILLIE op 6 januari 2019 01:39]

Als je alle als psychopaat gediagnotiseerde mensen (door ons gediagnotiseerd :p ) uit de weg gaat ruimen, houd je er nog maar bar weinig over. Mensen, welteverstaan. :+
Met je eens dat velen van deze groep "tycoons" empathie totaal ontberen, maar doodstraf is te drastisch, in mijn opinie.
Ik durf zelfs te stellen dat psychopaten zelfs nodig zijn, zowel in big business, big banking als in de politiek.
Als iedereen maar altijd blijft tobben en debatteren over of iets wel ethisch verantwoord is, dan gebeurt er helemaal niets meer.
Risico durven nemen is ook wel iets dat een psychopaat zomaar doet, durf ik maar te poneren. :P
-Teveel- empathie is zeker niet wenselijk in business. Het totale gebrek eraan is gewoon slecht en dat blijkt ook wel weer de laatste tijd.

Er zitten grenzen aan de mate van psychopatische trekjes die we moeten tolereren. "Mensen" die zonder schaamte bereid zijn om over lijken gaan voor hun eigen gewin komen, wat mij betreft, in aanmerking.
Mja, hier gaat men natuurlijk niet echt over lijken, maar over data van mensen.
Begrijp me niet verkeerd, ik vind dit ook een grof schandaal, en er zitten waarschijnlijk inderdaad mensen zonder schaamte achter, die slechts om geld geven, maar hé, zo werkt big business, blijkbaar, of zo.

Ze moeten gewoon, zoals eerder aangehaald, eens die boetes flink verhogen, tot faillisement aan toe.

Kop eraf hoeft van mij niet.
Van een kip zonder kop ken je nie plukkuh. :P
Eerst plukken en dan kop eraf :P
Kansloos, altijd pas na ophef snel weer aanpassen en iedereen komt er weer mee weg.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True