Onderzoekers vinden website die 'fingerprints-as-a-service' aanbiedt

Eindhovense onderzoekers hebben een online marktplaats gevonden voor digitale fingerprints: unieke kenmerken van de browser en het systeem van een gebruiker. Ze noemen het een nieuw fenomeen, al is het niet voor het eerst dat dergelijke data worden verkocht.

Het onderzoek heeft de toepasselijke titel 'Impersonation-as-a-service', een verwijzing naar hoe niet alleen software, maar tegenwoordig ook malware als 'dienst' beschikbaar is. Onderzoekers Michele Campobasso en Luca Allodi van de Technische Universiteit Eindhoven bestudeerden een relatief nieuw fenomeen waarbij niet alleen inlogcredentials werden verkocht, maar ook de bijbehorende fingerprints. Dat is een unieke set gegevens waarmee een website of dienst een gebruiker kan identificeren.

"Online datasets met inlogcredentials zijn natuurlijk al decennia oud", zegt Michele Campobasso tegen Tweakers. "Maar wat we nu zien is nieuw. Niet alleen worden de credentials verkocht, dus de gebruikersnamen en wachtwoorden, maar ook unieke fingerprints die daarbij horen. Dat maakt inloggen met die accounts een stuk gemakkelijker, bijvoorbeeld als je als aanvaller probeert in te breken via een proxybrowser. De aanvaller wordt normaal gesproken niet herkend en dat kan zorgen voor extra beveiligingschecks waardoor inloggen op het account van een slachtoffer niet meer mogelijk is, maar de fingerprints maken het mogelijk dit te omzeilen.

Fingerprint_Tor

Fingerprints zijn unieke kenmerken van een gebruiker. Het gaat vaak over eenvoudig te achterhalen informatie, zoals de grootte van een beeldscherm, de provider waarmee verbinding wordt gemaakt en andere netwerkactiviteiten, en muisbewegingen en interacties tussen de gebruiker en een website. Adverteerders kunnen dergelijke informatie bijvoorbeeld gebruiken voor semilegitieme doelen om een gebruiker te profileren, maar ze hebben binnen de beveiliging een belangrijker doel. Diensten als Google, Facebook en Reddit gebruiken fingerprints als een extra authenticatiemethode. Een gebruiker krijgt dan een extra verzoek om zijn wachtwoord in te voeren als hij inlogt vanaf een andere computer dan Google herkent.

260.000 credentials

Volgens Campobasso en Allodi is die informatie dus nuttig voor criminelen. Die kunnen zich met een fingerprint voordoen als een gebruiker en vallen daardoor minder op. De onderzoekers ontdekten een Russische website waar een enkele verkoper de credentials van 260.000 gebruikers verkocht. Campobasso wil niet zeggen welke site hij precies ontdekte, maar wel hoe dit werkte. "Het was geen marktplaats zoals je die vaker ziet waar meerdere verkopers iets aanbieden, of een hackersforum. Het gaat om een website met één verkoper die hele pakketten aanbood."

In zo'n pakket zaten inlogcredentials en een hele reeks fingerprintgegevens. Een koper koopt dus de gebruikersnaam en het wachtwoord van een Gmail-account, en krijgt daarnaast ook een hele rits data, zoals de schermgrootte en netwerkgegevens van die persoon. De kopers hoeven vervolgens niet zelf aan de slag met het maken van cookies, zegt Campobasso. "Je krijgt een plug-in voor je browser geleverd waarmee je in een keer al die informatie kan doorgeven aan de dienst." Kopers kunnen op de site bovendien heel gericht zoeken naar specifieke gebruikers, stellen de onderzoekers.

Malware

De informatie voor de fingerprint wordt verzameld door malware, zegt Campobasso. "Het gaat om een information stealer die binnen kan komen via phishing of malvertising, eigenlijk op alle andere manieren waarop malware binnen kan komen." Wel zegt Campobasso dat hij niet heel veel over de malware kan zeggen. Hoe die bijvoorbeeld te werk gaat, is bijvoorbeeld niet helemaal duidelijk. "We zijn zelf geen malwareonderzoekers."

fingerprint-as-a-service

Opvallend is dat de malware persistent is, zeggen de onderzoekers. Dat betekent dat die op het systeem blijft staan, en constant wordt bijgewerkt via een command-and-controlserver. Daardoor is de informatie op de site altijd actueel, ook als het slachtoffer een andere hardwareconfiguratie neemt.

De malware gebruikt 'echte' en 'synthetische' fingerprintsOp het systeem zoekt de malware naar informatie, maar daarbij wordt onderscheid gemaakt tussen twee soorten informatie. "Aan de ene kant zijn er wat we echte fingerprints noemen, waarbij de informatie rechtstreeks uit bijvoorbeeld de browser wordt gehaald", zegt de onderzoeker. Dat zijn bijvoorbeeld cookies waarin die fingerprint is opgeslagen. Die vorm komt amper voor. In slechts 4,3 procent van de gevallen werd een pakket met een dergelijke fingerprint verkocht. In het overgrote merendeel van de gevallen worden er wat Campobasso 'synthetische fingerprints' noemt, verkocht. Dat is gewoon een lange reeks aan gegevens over het systeem en het surfgedrag van het slachtoffer. Als die worden samengevoegd, is de kans groot dat de fingerprint tijdens een sessie geaccepteerd wordt.

De onderzoekers erkennen dat het verkopen van fingerprints geen volledig nieuw fenomeen is. Ook andere beveiligingsonderzoekers wijzen daarop. Begin 2019 ontdekte Kaspersky bijvoorbeeld al het Genesis-netwerk, een webshop die toen nog de fingerprints van 60.000 gebruikers bevatte. Tot nu toe zijn er geen publieke gevallen bekend waarbij die informatie heeft geleid tot een effectieve phishingcampagne, maar van de andere kant is dat ook vrijwel niet te controleren. Het is daarnaast ook sterk de vraag hoe nuttig de fingerprintgegevens in de praktijk zijn. Als een aanvaller een wachtwoord al heeft, is het grootste obstakel al genomen.

Reacties (65)

dehardstyler 27 oktober 2020 17:56

Hiervoor gebruik ik al een lange tijd "Trace". Dit is een browser extensie die de user agent elke keer wijzigt. Ook gaat de extensie "screen resolution tracking" tegen, en ook "HTML5 canvas tracking" is verleden tijd.

Deze kun je hier vinden:

Chrome: https://chrome.google.com...ddjgebnoeldkjcplfjb?hl=en
Firefox: https://addons.mozilla.or...don/absolutedouble-trace/
Github: https://github.com/jake-cryptic/AbsoluteDoubleTrace

Aardbol_23564 @dehardstyler • 27 oktober 2020 18:27

Dit alleen is geen oplossing, want ze kunnen ook je IP tracken, cookie plaatsen, indexDB van je browser gebruiken.

dehardstyler @Aardbol_23564 • 27 oktober 2020 18:40

Dat klopt! Daarom gebruik ik ook nog:

Disconnect
Cookie Auto-Delete
HTTPS Everywhere
Decentraleyes
NoScript
Ublock Origin

En een VPN.

FvdM @dehardstyler • 27 oktober 2020 20:15

Maar ook die combinatie is een fingerprint. Je bent dan diegene met de steeds wijzigende useragent, die canvas fingerprinting niet toestaat, bepaalde trackers niet kan bereiken, enz. Er hoeft maar een zo'n extensie ineens tracking malware te bevatten en die kan alles uit je browser opvissen, inclusief welke extensies je hebt.

Het is voor tracking privacy beter als zoveel mogelijk mensen exact dezelfde specs hebben. Dus dat browsers stoppen met het uitleesbaar maken van de user agent, OS versie, scherm resolutie, soort netwerkverbinding, GPU model, aantal CPU cores, batterij. Een webapp heeft die informatie toch niet nodig, want de UA of OS onderneemt zelf actie als bijvoorbeeld de accu laag is of de cpu load te hoog. Hooguit dat het de ontwikkelaar inzicht geeft in hoe matig de app geoptimaliseerd hoeft te worden.

dehardstyler @FvdM • 27 oktober 2020 20:24

Maar leg dat nou eens uit dan. Ik zie hier nou verschillende mensen dit soort berichten neerzetten.

Je bent dan diegene met de steeds wijzigende useragent, die canvas fingerprinting niet toestaat, bepaalde trackers niet kan bereiken, enz.

Hoe linken ze dit aan elkaar? IP veranderd elke keer, useragent veranderd elke 15 seconden, canvas fingerprinting wordt juist wel toegestaan, maar veranderd elke keer. Geen enkele tracker kan bereikt worden.

Hoe weten ze welke plugins ik geïnstalleerd heb? Er worden helemaal geen plugins gedetecteerd, dit heb ik hier net nog beschreven: dehardstyler in 'nieuws: Onderzoekers vinden website die 'fingerprints-as-a-s...

Gomez12 @dehardstyler • 28 oktober 2020 02:11

Juist door al die trucjes plaats je jezelf in een groep gebruikers die maar 0,01% groot is.
Terwijl de gemiddelde gebruiker in een groep van (zeg maar) 1 tot 5% zit.
En je wilt in een zo groot mogelijke groep zitten zodat je ondergaat in de massa.

Je maakt jezelf unieker door al die plugins. En hoe unieker hoe liever ze jou als gebruiker hebben.

Kijk, als ik inlog op mijn gmail, dan is dat met een browser die zo standaard is dat de fingerprint gelijk is aan die van tig miljoen andere gebruikers. Oftewel ze weten niet of ik het ga zijn, of een van die andere tig miljoen die gaat aanloggen.
Nu kom jij aan, jouw fingerprint is zo uniek dat die maar voor 200 andere gebruikers zo is. Dan weten ze dus dat het 1 van die 200 gebruikers is.

En hoe ze het aan elkaar linken, heel simpel (even afgaande op wat jij zegt).
Jouw ip blijft gelijk (voor zeg een sessie of een uur), jouw useragent veranderd elke 15 seconden, dat is een zeer opvallend patroon. Binnen die 15 seconden veranderd je canvas fingerprinting elke keer, dat is een nog opvallender patroon.
Maar jouw ip heeft ook nog gewoon een patroon in zich zitten hoor. Per VPNboer is er exact bekend wat de uitgangsadressen zijn. Die zijn helemaal niet zo random...

Oftewel als er een klant met een ip-adres van die vpnboer aan komt zetten en veranderd per 15 seconden van useragent en daarbinnen elke keer van canvasfingerprinting dan heb je het over een heel klein aantal gebruikers wat die specifieke combinatie heeft, je bent waarschijnlijk 1 van 10 gebruikers.
Terwijl als je er gewoon met een plain vanilla browser heengaat dan ben je 1 van 100 of 1 van 1000 gebruikers.

Kijk, het gaat niemand echt om het kunnen 1 op 1 kunnen pinpointen, het gaat alleen om de groep waarbinnen iemand zit zo klein mogelijk te krijgen.

En de echte nasty fingerprint technieken, die kijken al helemaal niet eens meer naar je ip of je browser, die kijken gewoon naar muis-bewegingen, tijden tussen toetsaanslagen, tijden tussen scrollen en ergens op klikken etc. Die technieken vragen nu nogal wat rekenkracht om echt daadwerkelijke persoonsprofielen op te maken, maar het werkt in het algemeen wel al perfect om een user in te delen qua muissnelheid in iets van 100 gradaties.

Kijk in wezen willen de tech-bedrijven nog niet eens 1 op 1 kunnen pinpointen, daar schieten ze niets mee op, dan krijg je van die ads van spul wat je net allemaal gekocht hebt.
In wezen willen ze jou het liefste in een groepje van een paar 1000 man hebben zitten, zodat als 501 man iets gekocht heeft van die groep, dan is het zeer waarschijnlijk dat jij er ook wel interesse in zult hebben

dehardstyler @Gomez12 • 28 oktober 2020 09:06

Bedankt voor je uitgebreide uitleg!

Het is in deze dus kiezen of delen.

Als ik namelijk geen plugins gebruik wordt ik 100% zeker getracked. Als ik geen user agent plugin gebruik ook, want dan blijven de canvas en user agent hetzelfde. Als ik wel de canvas en user agent switcher gebruik, dan dus blijkbaar ook.

Wat nu?

edit: Ook @FvdM

[Reactie gewijzigd door dehardstyler op 22 juli 2024 17:31]

HugoZeilstra @Gomez12 • 28 oktober 2020 08:49

Zo is het volgens mij. En het gebruik van typische zinsconstructies en woorden binnen reacties gekoppeld aan de prints hoort hier ook bij.

Wobblier @Gomez12 • 28 oktober 2020 16:05

Volgens mij hebben jullie beiden gelijk. Beiden +2.

In het geval van het artikel: Ik denk dat het niet om een fingerprint-service gaat van useagent/canvas/andere privacy randomizer tool gebruikers. Die zijn per definitie lastiger. Wat het artikel betreft gaat het juist op 1op1 matches van longs+fingerprint.

Anderzijds is geen relatie wel degelijk ook een relatie. Een random fingerprint value is ook een fingerprint (value).

FvdM @dehardstyler • 28 oktober 2020 06:07

Hoe linken ze dit aan elkaar? IP veranderd elke keer, useragent veranderd elke 15 seconden, canvas fingerprinting wordt juist wel toegestaan, maar veranderd elke keer.

Gomez12 legt het goed uit. Het kan ook een slechte extensie zijn. Zo is recent nog de redelijk veel gebruikte Nano adblocker verkocht aan een foute partij die zonder kennisgeving fingerprinting in een automatische update heeft gezet. Zo'n extensie kan eenvoudig een persistent ID opslaan. Ook kan de VPN dienst rogue gaan. Ze hebben van die mooie beloftes zoals 'geen logs' maar dat zegt niets over wat ze in realtime kunnen inzien en of ze daadwerkelijk geen logs bijhouden. Het is in deze tijd van commerciële informatiehonger aannemelijk dat er trackers zijn die VPN diensten runnen én fingerprinting doen voor gebruiker tracking. Ik vermoed bijvoorbeeld Cloudflare. (ik heb geen hard bewijs, maar ze bevinden zich wel in een hele waardevolle positie; werkzaam in beide gebieden met gigantische hoeveelheden inzichtelijk verkeer, privacy-vriendelijk imago, de perfecte MITM) De kans is groot dat je computer of smartphone buiten je vpn om al contact met hen heeft gehad dmv processen die identificeerbare informatie doorgeven. Zij zien dat je IP ineens veranderd maar de ID's blijven gelijk, enz.

Geen enkele tracker kan bereikt worden.

Tracking gebeurt ook binnen de nette sites die je bezoekt op hun algemene domeinnamen. Zo zijn er voor Matomo en Google Analytics proxy (php) scripts beschikbaar waarmee je tracking cookies (met unieke namen) kunt plaatsen onder de first party hostname en dan de communicatie via die weg doet zonder dat de blocker dat ziet. Sommigen nemen de tracking ID zelfs op in de functionele cookies die je niet kan weigeren. Je moet alle cookies en javascript uitschakelen om dat te limiteren, maar dan werkt 99% van de websites niet meer. En de browser extensies leunen meestal ook op javascript. Kan je met NoScript tackelen, maar dat is weer een afhankelijkheid met gevaren.

Het kan ook door je muis/touch gedrag (ook zonder canvas) te volgen. Bijvoorbeeld een trillende hand met een bewegingspatroon, dat je buttons iets uit het midden aanklikt, hoelang je de muisknop vasthoud. Chrome stuurt fout rapportages naar monitoring urls (Report-To header) zonder dat de gebruiker dat doorheeft, waar ook een identifier in kan staan. Ik gebruik dat zelf om te zien dat iets niet werkt als de bezoeker een veel te agressieve adblock gebruikt of browser crashes. Je kan daarmee zelfs rapportages krijgen als iemand niet eens verbinding kan maken, zoals door een dns fout (blocklist). Gecombineerd met tests, zoals dat je geen TLSv1.3 urls kan bereiken, wel of geen IPv6, laadsnelheid van assets en vast nog meer, is er toch een beeld te schetsen. Dat zijn gegevens die lastig zijn te manipuleren. Het klinkt allemaal far fetched, maar het gebeurt.

Hoe weten ze welke plugins ik geïnstalleerd heb? Er worden helemaal geen plugins gedetecteerd

Het hangt ervan af of de browser sandboxing en user permissions vereist en wat extensies zelf doen. Sommigen injecteren javascript of css in de pagina wat een andere extensie kan proberen uit te lezen. Ook zijn er extensies/plugins met gedeelde error reporting (bijv. Sentry onpremise) waarin een user ID kan staan die mbv fingerprinting is gegenereerd. In de eigen backend kan de uitgever data combineren.

Tenzij je alle onderdelen van je verbinding volledig in eigen beheer hebt (browser, device, proxies) laat je altijd wel ergens sporen achter. Of je iets te verbergen hebt dat doet er niet meer toe, iedereen wordt gevolgd. Gewoon omdat het kan. Zoals anderen ook aangeven heb je meer anonimiteit in de massa, maar dan wel met zelf de regie over de hele infra. Bijvoorbeeld door zelf een gratis of te goedkope no-logs VPN dienst aan te bieden waar miljoenen goede en slechte mensen gebruik van maken...

[Reactie gewijzigd door FvdM op 22 juli 2024 17:31]

Kaoh

@FvdM • 28 oktober 2020 15:10

En dit is binnen mobiele apps nog een graat erger. Daar hebben ze nog meer sensor info en dergelijke beschikbaar om te beoordelen wie je bent en wat je verslaving aanwakkerd.

CAPSLOCK2000

Beveiliging en antivirus
onderzoek

@dehardstyler • 28 oktober 2020 00:59

Hoe linken ze dit aan elkaar? IP veranderd elke keer, useragent veranderd elke 15 seconden,

Hoe vaak verandert je IP echt? Het ligt nogal aan het soort aansluiting dat je hebt, maar de meeste mensen met vast internet hebben maanden lang hetzelfde IP-adres.

Hoeveel mensen in Nederland hebben zo veel plugins dat alle vormen van tracking tegen houden? 1000? 10.000?
En hoeveel daarvan wonen er bij jou in de stad? Op grond van je IP-adres kunnen ze namelijk wel redelijk betrouwbaar zeggen in welke stad je woont. Nog een paar algemene kenmerken zoals de tijden waarop je actief bent, je internet provider en de snelheid van je internetverbinding en dan denk ik dat je toch al vrij snel identificeerbaar bent.

Voor de duidelijkheid, ik zeg niet dat die plugins geen zin hebben, maar ik heb niet de illusie dat ze me helemaal verbergen. Ze zijn er vooral om de hoeveelheid informatie die ik lek te beperken.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 17:31]

ro4sho @CAPSLOCK2000 • 28 oktober 2020 06:09

Hij zegt dat hij een vpn gebruikt.

Jerie

@FvdM • 27 oktober 2020 21:34

Tip is misschien een browser in een browser draaien. ViewFinder (aka BrowserGap) is een voorbeeld https://github.com/c9fe/ViewFinder

davekok @FvdM • 28 oktober 2020 14:05

Zal wel mooi zijn als dat er een keer door heen komt. Dan hebben ontwikkelaars geen keus meer dan responsive designs te maken. Service workers gebruiken. Waarvoor ze het liefst toestemming moeten krijgen. Dat zal de techniek enorm goed dan. Al die ontwikkelaars die maar steeds proberen om features te misbruiken zodat ze er onder uit kunnen komen om clean te programmeren. Levert alleen maar steeds ellende op.

Hetzelfde had je met alle buffers overflows. Prima te vermijden maar te lui om het te doen. En nu hebben we allemaal beveiligingsgaten. En kunnen we het probleem ook niet oplossen want dan werkt dit en dat niet meer.

kimborntobewild @FvdM • 2 november 2020 03:18

Het is voor tracking privacy beter als zoveel mogelijk mensen exact dezelfde specs hebben.

Het is nog veel beter tracking (i.i.g. voor reclamedoeleinden, pofielopbouw, IP-adres registratie, etc.) dat het compleet verboden wordt. Te beginnen in NL, dan EU (een groot deel van de politici zou dat dan andersom willen: eerst de EU, dan pas (of tegelijkertijd) de NL), dan de bij de VN aangesloten landen, en dan de hele wereld. (Je moet ergens beginnen.)
Ik denk nl. dat fingerprinting technisch gezien niet is te voorkomen; of je moet een extreem uitgeklede browser hebben die ik niet ken. (Ook een browser zoals de duckduck-browser lekt volgens mij; en standaard staan er opties aan die je niet aan wilt hebben staan.)

t link @dehardstyler • 27 oktober 2020 20:52

Deze wel eens geprobeert? https://panopticlick.eff.org/ het is altijd een dillema tussen security through obscurity en zo min mogelijk los laten. hoe minder standaard je browser is, hoe unieker.

TweetCu @t link • 27 oktober 2020 21:20

Wat het beste is denk ik als je niet getraced zou willen worden zou door iets als TOR te gebruiken, en dan de Firefox aangepaste versie van TOR te gebruiken zodat iedereen zoveel mogelijk op elkaar lijkt, hier moet je dan niets doen dat op een of ander manier naar jou te linken is, of het nou een browsen patroon is, bepaalde hoeveelheid/soort video's op YouTube die je eerder zag of gaat zien buiten TOR, e-mail (maak een andere unieke adres ergens via TOR (verifieer deze niet met een SMS van jou, een kennis, vriendelijke vreemde op straat, eigen email-adres, etc iets wat naar jou gelinkt kan worden uiteindelijk) en gebruik het alleen met TOR, of zo een tijdelijke e-mailadres).
Je wilt gezien worden als een compleet ander persoon, met exacte dezelfde browser en settings als alle andere miljoenen op het TOR netwerk, met andere interesses en patronen die niet te linken met jou gewoonlijke patronen en interesses.

Probleem wel is als toevallig alle Nodes waar via je verbind beheerd wordt door 1 dezelfde persoon of organisatie, dan zou het volgens mij mogelijk zijn om de traffic van de eindpunt en jou IP te volgen.

Hoe het werkt met .onion domeinen weet ik nog niet exact, maar dacht dat ik ergens las dat de verbinding hierbij een heel stuk veiliger was?

Je wilt dan ook zoveel mogelijk of helemaal van de instellingen van je browser en add-ons af willen blijven, omdat je browser zich uniek gedraagt tegenover de browser van andere TOR clients.

[Reactie gewijzigd door TweetCu op 22 juli 2024 17:31]

Anoniem: 1409490 @dehardstyler • 27 oktober 2020 20:07

Hoe meer extenties je echter toevoegt, hoe meer je browser natuurlijk opvalt tussen andere browsers. Extra extenties als HTTPS Everywhere en Cookie Auto-Delete lijken mij ook onnodig, gezien browsers tegenwoordig automatisch cookies kunnen verwijderen na sluiten, en ze je ook waarschuwen als je een HTTP website dreigt te bezoeken. Verder doet een VPN doet vrijwel niks voor privacy, behalve van wellicht je ISP

Als je dan ook nog in oog neemt dat het een veelvoorkomend fenomeen is dat extenties na een verkoop/overname opeens malware lijken te shippen, en jij het risico hierop enorm vergroot door zoveel extensies te installeren, zou ik persoonlijk wat minder extensies gebruiken alleen al vanuit het veiligheids principe.

Op dezelfde manier dat Anti-Virus programma's je PC niet opeens veilig maken, maken extensies je browser niet opeens private

[Reactie gewijzigd door Anoniem: 1409490 op 22 juli 2024 17:31]

Cerberus_tm

@Anoniem: 1409490 • 28 oktober 2020 01:52

Cookie Auto-Delete laat je per domein bepalen hoe je browser met de cookies van die website omgaat: permanent bewaren; weggooien zodra je de browser sluit; weggooien zodra je het tab sluit; weggooien zodra het tab van domein verandert. Heel wat nuttiger dan de standaardfunctie in browsers.

Een VPN verbergt je IP-adres, toch een belangrijk gegevens voor vingerafdrukken.

Mozilla controleert extensies echt voordat ze gehost worden, dus daar is de kans denk ik klein dat een extensie malware is. Sowieso kun je beter automatische updates uitzetten voor extensies, dan kan een legitieme extensie niet geupdate worden naar malware wanneer ze een nieuwe eigenaar krijgt.

dehardstyler @Anoniem: 1409490 • 28 oktober 2020 09:03

Ik snap niet waarom jij allemaal zaken eruit pikt en dan specifiek daar naar kijkt.

Tuurlijk doet een VPN opzich niet veel.
Tuurlijk lossen deze plugins niet magisch al je tracking problemen op.

Maar tel ze nu eens bij elkaar op. Cookie Auto-Delete lijkt je onnodig, maar je blijkt het niet eens te kennen.

Nou begin je ineens over Anti-Virus. Laten we daar op doorgaan:

Anti-Virus programma's maken je computer niet ineens veilig nee. Je moet nog steeds weten waar je op klikt etc. Maar zonder Anti-Virus ben je 100% onveilig bezig. Dit zelfde geldt voor de plugins die ik gebruik. Als ik ze niet gebruik wordt ik 100% zeker getracked en gevolgd. Vandaar dat ik de plugins gebruik.

kimborntobewild @dehardstyler • 27 oktober 2020 18:34

Die 'anti-fingerprinting' extensie genereert zelf een fingerprint (zie de reviews)... dus vraag ik me af of je er iets mee opschiet.

dehardstyler @kimborntobewild • 27 oktober 2020 18:40

Ja uiteraard en dan elke keer een nieuwe.

User-Agent Spoofer
User-Agent Randomisation protection protects you by changing your HTTP User-Agent every 15 seconds. A User-Agent is a string of text sent to every website you visit telling it what OS and Browser you're using and their versions. Whilst this information can be used to show you relevant information for your computer it can also be used to identify you, it can also be used by attackers to identify if your system or browser is vulnerable to certain attacks.

[Reactie gewijzigd door dehardstyler op 22 juli 2024 17:31]

kimborntobewild @dehardstyler • 27 oktober 2020 18:47

Ik bedoel dat je herkenbaar bent, omdat je die extensie gebruikt.
Zoals '4brahm J' het daar omschrijft: 'Like many other fingerprint extensions, the code itself can be fingerprinted and there are no protections in place.'

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 17:31]

dehardstyler @kimborntobewild • 27 oktober 2020 18:50

Kun je de review dan even in je reactie zetten? Dan kan ik even kijken.

kimborntobewild @dehardstyler • 27 oktober 2020 18:52

Done (was ik toevallig al aan 't toevoegen, toen jij aan 't typen was...

dehardstyler @kimborntobewild • 27 oktober 2020 19:07

Dank je!

Hier maak ik mij niet zo zorgen om. Ik gebruik namelijk Firefox en die doet ook aan "fingerprint blocking", mits je Firefox op "Strict" zet. Ik heb zojuist een test gedraaid op https://amiunique.org en zoals je kunt zien is er geen enkele plugin gedetecteerd: https://imgur.com/a/8nhJtEc

Ik weet dus niet waar de persoon in de reviews het over heeft eerlijk gezegd.

keizert @dehardstyler • 27 oktober 2020 20:09

Het feit dat jouw fingerprint steeds wijzigt geeft icm met jouw ip al voldoende entropie om uniek te zijn binnen een redelijke scope, dat is wat ze bedoelen

dehardstyler @keizert • 27 oktober 2020 20:17

Ik begrijp wat ze bedoelen, maar zoals ik zeg denk ik niet dat het een probleem is. Ik ben mezelf niet aan het verstoppen voor de NSA of zo.

De trackers zullen niet zover gaan om je te blijven zoeken, ten minste, nog niet.

aldieaccounts @dehardstyler • 28 oktober 2020 08:33

Ik begrijp wat ze bedoelen, maar zoals ik zeg denk ik niet dat het een probleem is. Ik ben mezelf niet aan het verstoppen voor de NSA of zo.

De trackers zullen niet zover gaan om je te blijven zoeken, ten minste, nog niet.

Precies. Het scheelt een hoop reclame-tracking, want voor een reclame tracker is het niet al te interessant om die paar mensen die door al deze hoepels springen te gaan volgen. Daar zijn het er te weinig voor. Als je de target bent ven persoonsfraude door eoa crimineel dan hang je. Maar daar is vrij weinig aan te doen behalve hopen dat ze jou niet moeten hebben.

Bij amiunique ben ik ook immer uniek. Vooral door de combi OS (ubuntu, ~3% van de mensen) en de lijst van installed fonts (< 0.01%). Ik vind het absurd dat firefox dat soort zaken überhaupt nog rapporteert. Zelfs als je FF op strict mode zet dan wordt die font list nog doodleuk doorgegeven. Er is tegenwoordig toch zoiets als webfonts, dus waarom niet een (klein) lijstje van standaardfonts meeleveren met FF en de systeemfonts compleet negeren. Websites die iets speciaals willen qua fonts laden toch hun eigen fonts van het web.

Theo @dehardstyler • 27 oktober 2020 18:29

Firefox waarschuwt bij het installeren dat de add-on mogelijk een risico is omdat: "This add-on is not actively monitored for security by Mozilla. Make sure you trust it before installing."
De maker (AbsoluteDouble) heeft ook maar één add-on gemaakt, heeft geen naam of reputatie. Dus de betrouwbaarheid is nogal laag van de add-on. Hoe kan worden gegarandeerd dat de plugin juist niet de fingerprint data verzamelt en doorstuurt?

dehardstyler @Theo • 27 oktober 2020 18:48

Als je er verstand van hebt kun je zelf de source code nakijken op Github.

DeV0uReR @dehardstyler • 27 oktober 2020 20:45

Heb je hem ook zelf gecompileerd vanaf die broncode die je zelf gecontroleerd hebt?

Gomez12 @DeV0uReR • 28 oktober 2020 01:28

Met je eigen geschreven of minimaal 100% geverifieerde compiler om uit te sluiten dat ze niet via compiler bugs alsnog dingen doen die niet uit de broncode blijken?

ro4sho @Gomez12 • 28 oktober 2020 06:13

Het zal tedat doet Mozilla lekker voor me 😃

jaapzb @DeV0uReR • 28 oktober 2020 14:03

Er valt weinig te compileren, het is allemaal JS

vgroenewold @dehardstyler • 27 oktober 2020 18:34

Dank! Ik heb inmiddels een stuk of 10 van dit soort extensies draaien, belachelijk eigenlijk.

sympa 27 oktober 2020 17:26

Kan je die fingerprints niet gewoon opvangen via phishing? Ik stuur een phish naar victim@example.com, slachtoffer klikt op de link en de website achter de link registreert de fingerprint.

Vossie94 @sympa • 27 oktober 2020 17:32

Dan moet de gebruiker alsnog wel op die phishing link klikken (als hij dan niet al van tevoren als zodanig is herkend door de gebruiker of door je spamfilter).

Christoxz @Vossie94 • 27 oktober 2020 17:38

Maar hoe makkelijk is het om malmware op iemands pc te krijgen, moet je toch ook ergens op drukken

Christoxz @sympa • 27 oktober 2020 17:39

Ja, maar deze fingerprints werden verkocht inclusief login gegevens.

True @sympa • 27 oktober 2020 17:31

edit: ik lees niet.

[Reactie gewijzigd door True op 22 juli 2024 17:31]

bertware @True • 27 oktober 2020 17:33

Het gaat hier om digitale fingerprints van browsers, dus geen vingerafdrukken van echte mensen.

digitale fingerprints, unieke kenmerken over de browser en het systeem van een gebruiker

ReTechNL 27 oktober 2020 17:46

Tegenwoordig willen grote bedrijven zoals fb, twitter, linkedin, google, enz. Zoveel mogelijk weten van gebruikers wat niet noodzakelijk is voor de dienst. Alleen maar onder de noemer gebruikers ervaring... Deze data wordt verzameld vanwege de verzamel woede van grote tech giganten.
Als er dan ingebroken wordt dan kan deze gegevens ook direct buitgemaakt worden. En vormt een mooie aanvulling op de buitgemaakte credentials.

la cucaracha @ReTechNL • 27 oktober 2020 19:23

De gruwelterm..... ( gebruikerservaring)
Ik kruip steeds meer richting uitgang vd social media als FB , LinkedIn en consorten.
Goede adblocker in Firefox helpt ook enorm met het prettig houden van mijn online ervaring.

tapkcir @la cucaracha • 27 oktober 2020 20:04

Naja die rommel gebruiken kan wel op zich maar dan natuurlijk niet met rl naam en rl info. Verder is het sowieso onverstandig om computers te gebruiken voor zaken. Draadloos al helemaal. Add blocker zal weinig uitmaken.. Recent is er nog een nieuwe API toegevoegd waar de hele handige snuiters ongetwijfeld hele handige diensten mee kunnen leveren. Bedenken kan ik ze wel.. Maken helaas niet, maar er zijn zat bedrijven bekend die daar heel handig mee zijn. Vaak zijn overheden daar al klant van, dus de zakelijke relaties zijn er al

Mr. Bakkebaard 27 oktober 2020 18:03

Waarom verstrekken browsermakers eigenlijk zoveel vertrouwelijke informatie over hun gebruikers? Ik zou liever zien dat Firefox helemaal niet aangeeft in welke tijdzone ik zit, wat voor videokaart ik heb, wat voor taal ik ingesteld heb etc.

En zijn er goede add-ons die deze info ontoegankelijk maken?

Koenvh @Mr. Bakkebaard • 27 oktober 2020 18:48

Waarom verstrekken browsermakers eigenlijk zoveel vertrouwelijke informatie over hun gebruikers?

Er zijn goede redenen voor. Stel je voor dat je een productlancering hebt, dan kun je op die pagina zetten "We gaan live om x"., maar om te weten wat x is, moet de browser wel weten in welke tijdzone je zit. Je kunt natuurlijk de gebruiker vragen om de tijdzone in te vullen, maar dat zullen sommige mensen te veel werk vinden. Hetzelfde met de taal, op die manier kunnen ze "We gaan live om x" weergeven, in plaats van "We are going live at x" of "Wir gehen live um x".

Al die dingen an sich zijn logisch en ontzettend handig; bij elkaar vormen ze toch een vrij uniek profiel. Al die informatie verbergen brengt ontzettend veel ongemakken met zich mee.

[Reactie gewijzigd door Koenvh op 22 juli 2024 17:31]

kimborntobewild @Koenvh • 27 oktober 2020 18:55

Al die dingen an sich zijn logisch en ontzettend handig; bij elkaar vormen ze toch een vrij uniek profiel. Al die informatie verbergen brengt ontzettend veel ongemakken met zich mee.

Dat klopt. Maar de gebruiker zou zelf eenvoudig de keuze moeten hebben (middels ingebouwde vinkjes in de browser), om zoveel mogelijk van die informatie niet mee te zenden. Zonodig een vinkje per item.

laptopleon @Koenvh • 27 oktober 2020 19:03

Ik merk er anders weinig van. Welke site bijvoorbeeld past de tijd aan aan mijn tijdzone? Wat is het voordeel voor mij dat een site weet welke exacte desktop-schermresolutie ik aan heb staan?

Ik zou verwachten dat dit in ieder geval deels door de gebruiker te bepalen is.

Niema @Koenvh • 27 oktober 2020 19:12

Klopt, het is nuttig, maar als we bijv. Telkens een klein beetje de resolutie aanpassen, we de taal aanpassen naar bijv. Vlaams(taal wordt eigenlijk toch wel goed weergegeven door op en browsersettings), we bijvoorbeeld de ene keer de browser faken naar 1 oudere versie en dan nieuwere zijn dat aanpassingen zonder grote gevolgen
denk ik.

Er zijn goede redenen voor. Stel je voor dat je een productlancering hebt, dan kun je op die pagina zetten "We gaan live om x"., maar om te weten wat x is, moet de browser wel weten in welke tijdzone je zit. Je kunt natuurlijk de gebruiker vragen om de tijdzone in te vullen, maar dat zullen sommige mensen te veel werk vinden. Hetzelfde met de taal, op die manier kunnen ze "We gaan live om x" weergeven, in plaats van "We are going live at x" of "Wir gehen live um x".

Al die dingen an sich zijn logisch en ontzettend handig; bij elkaar vormen ze toch een vrij uniek profiel. Al die informatie verbergen brengt ontzettend veel ongemakken met zich mee

[Reactie gewijzigd door Niema op 22 juli 2024 17:31]

ralph075 @Mr. Bakkebaard • 27 oktober 2020 18:17

Zie de reactie van @dehardstyler.

Helaas werken die niet op een mobiel OS/mobiele browser. Maar als je op een desktop/laptop werkt, kan je daar wel mee uit de voeten.

dingo35 27 oktober 2020 18:49

Volgens mij klopt de titel niet; uit het artikel begrijp ik dat de fingerprints in data-sets met (partiële) credentials te koop aangeboden worden. Dat is dus helemaal niet "as-a-service".

huiz @dingo35 • 27 oktober 2020 22:49

Jawel, de credentials worden voortdurend bijgewerkt door de malware op het systeem van het slachtoffer, zodat de koper as a service altijd over deze gegevens kan beschikken.

dingo35 @huiz • 12 november 2020 15:02

Ja nu ik het herlees zie ik dat er gebruik gemaakt wordt van een systeem waarop de koper de actuele data kan vinden; de kreet "data-set" zette mij op het verkeerde been. Dank!

oltk 27 oktober 2020 19:22

De consumentenbond heeft hier een mooi verhaal over geschreven:
https://www.consumentenbo...cy/browser-fingerprinting

Ze verwijzen naar een testsite om te kijken wat van jou bekend is:
https://browserleaks.com/canvas

En Canvas FIngerprint Defender in de extentiestore van chrome geeft een 100% spoof fingerprint (ik gebruik alleen chrome, geen idee of firefox ook een zelfde extentie heeft)

[Reactie gewijzigd door oltk op 22 juli 2024 17:31]

mystic101 @oltk • 28 oktober 2020 07:24

Ik heb de volgende uniquenesses:
Chrome: 99.95% (258 of 528769 user agents have the same signature)
Edge: 99.95% (258 of 528769 user agents have the same signature)
FireFox: 99.76% (1281 of 528769 user agents have the same signature)
IE: 99.41% (3120 of 528769 user agents have the same signature)

Kan ik nu het beste IE gebruiken. Deze is het minst uniek! $_/-\o_$

jaapzb @mystic101 • 28 oktober 2020 14:05

Dit is alleen maar het "canvas" gedeelte van de fingerprint, als je wilt zien wat je "echte" fingerprint is kan je naar https://amiunique.org/ gaan

Voor mij komt daar uit

Yes! You are unique among the 2796455 fingerprints in our entire dataset.

Met name omdat ik op een developer versie van firefox zit onder een recente linux kernel in UTC+1 met de taal op engels...

[Reactie gewijzigd door jaapzb op 22 juli 2024 17:31]

Jerie

27 oktober 2020 21:08

Hmm waar heb ik dat plaatje eerder gezien? Hier: https://blog.torproject.o...tion-and-challenges-ahead

Dat stukje gaat over hoe de Tor Browser dat tegengaat (een van de remedies is de standaard grootte van de browser window niet te veranderen). Het is uit September 2019. Dit zou naar upstream (dwz Firefox) geport worden.

Niet al die features staan standaard aan. Zie hier een voorbeeld (letterboxing tegengaan met privacy.resistFingerprinting): https://www.zdnet.com/art...ique-called-letterboxing/

Met o.a. deze website kun je kijken hoe uniek je fingerprint is: https://amiunique.org

Volgens die website:

Yes! You are unique among the 2788145 fingerprints in our entire dataset.

Dat komt met name omdat ik Firefox 82 draai (die is recalled maar werkt voor mij prima op macOS). En Firefox op macOS heeft lange tijd performance problemen gehad (die zijn inmiddels verholpen).

Ook via https://ipleak.net kun je een kijkje nemen naar je metadata, een andere website die dat kan is https://browserleaks.com

Ook je browsing historie kan jou identificeren: https://www.zdnet.com/art...-reliably-identify-users/

[Reactie gewijzigd door Jerie op 22 juli 2024 17:31]

Gomez12 @Jerie • 28 oktober 2020 01:38

Volgens die website:
Yes! You are unique among the 2788145 fingerprints in our entire dataset.

Dat komt met name omdat ik Firefox 82 draai (die is recalled maar werkt voor mij prima op macOS). En Firefox op macOS heeft lange tijd performance problemen gehad (die zijn inmiddels verholpen).

Ehm, je begrijpt dat het negatief is dat je uniek bent toch?

Uniek = perfect traceerbaar, je wilt juist gelijk zijn aan die 2788145 fingerprints in de database.

Jerie

@Gomez12 • 28 oktober 2020 09:30

Ja, dat begrijp ik. Het feit dat ik Firefox 82 gebruik is een outlier.

Ik kan wel resist fingerprinting aanzetten. Dan wordt de useragent hetzelfde als Windows 10 + een oudere Firefox (68 IIRC). Maar met JavaScript haal je het er wel uit. Basically, JavaScript = tracked.

Christoxz 27 oktober 2020 17:38

Een gebruiker krijgt dan een extra verzoek zijn wachtwoord in te voeren als hij inlogt vanaf een andere computer dan Google herkent.

Ik denk dat we hier een extra verificatie verzoek bedoelen?
Als ik op een andere computer zit, lijkt mij het logisch dat ik mijn wachtwoord moet invoeren.

Dr. Lektro 27 oktober 2020 21:29

Mogelijk kan een plugin als Noiszy hier uitkomst bieden. Deze stuurt 'random data' naar door jouw goedgekeurde websites wat fingerprinting kan bemoeilijken/tegengaan.

Alex3 27 oktober 2020 22:40

Dezelfde fingerprint vanaf een ander IP-adres, dat is toch verdacht?

stefanass @Alex3 • 28 oktober 2020 08:01

Dat is voor bv. mensen die vaak op locatie bij klanten zitten met een laptop niet heel vreemd. En dat is wellicht ook een groep die "interessant" is voor hackers.

Op dit item kan niet meer gereageerd worden.

Onderzoekers vinden website die 'fingerprints-as-a-service' aanbiedt

260.000 credentials

Malware

Lees meer

Wachtwoordmanagers met waarschuwingen

Reacties (65)

Sorteer op:

Weergave: