Honderden websites verzamelen data van webforms voordat gebruikers die versturen

Honderden websites verzamelen informatie die gebruikers in webformulieren typen en sturen die door naar trackingbedrijven, ook voordat gebruikers het formulier daadwerkelijk versturen. Dat gebeurt bij ongeveer twee procent van de populaire websites, zeggen onderzoekers.

Onderzoekers van de Nederlandse Radboud Universiteit, de Belgische KU Leuven en de Zwitserse Université de Lausanne keken naar webformulieren op de honderdduizend meestbezochte websites. Ze bouwden vervolgens een crawler die was gebaseerd op DuckDuckGo's Tracker Radar Collector. Die zoekt naar velden om e-mailadressen en wachtwoorden in webformulieren in te vullen. In dat geval onderschept de crawler ook het netwerkverkeer van die sites om te kijken welke informatie er op welk moment wordt verzonden. De onderzoekers concluderen daarbij dat bij 1844 van de 100.000 websites al informatie wordt verzonden naar derde partijen vóórdat de gebruiker het webformulier verstuurt. Dat geldt voor websites die vanuit Europa worden bezocht. Bij bezoekers uit de Verenigde Staten komt dat nog vaker voor, 2950 keer.

De onderzoekers vonden die praktijk bij formulieren die worden gebruikt om in te loggen of te registreren, of als gebruikers zich voor een nieuwsbrief wilden inschrijven. In 1844 gevallen vonden de onderzoekers scripts die een MD5-, SHA-1- of SHA-256-hash van het e-mailadres van de gebruiker naar een domein van een derde partij stuurden. In een derde van die gevallen werd dat script aangeroepen vanaf het externe domein en dus niet door het domein waar de gebruiker zich op dat moment bevindt.

De trackers komen volgens de onderzoekers het meest voor op shoppingsites, nieuwssites en sites met mode als hoofdonderwerp. In de meeste gevallen hebben de thirdpartytrackers blokkades voor wachtwoordexfiltratie ingebouwd, maar niet altijd. De onderzoekers vonden 52 websites waar ook het wachtwoord werd meegestuurd naar de derde partijen. Dat hebben de websites wel verbeterd nadat de onderzoekers contact met hen opnamen.

In de meeste gevallen werden de verzoeken ingediend vanuit bekende trackerdomeinen die volgens de onderzoekers zijn opgenomen in veel blocklists. Maar in 41 gevallen gebeurde dat niet: het domein was daar niet bekend. De onderzoekers concluderen ook dat het verzamelen van de adressen waarschijnlijk niet mag onder de AVG. De verzameling gebeurt namelijk zonder toestemming en heeft verder geen grondslag waaronder het bijvoorbeeld nodig is dat de gegevens worden verzameld. De onderzoekers zien het verschil in websitebezoek tussen de EU en de VS ook als teken dat adverteerders zich aan de AVG houden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 12-05-2022 08:44132

12-05-2022 • 08:44

132 Linkedin

Lees meer

DuckDuckGo blokkeert binnenkort Microsoft-scripts op websites van derden Nieuws van 7 augustus 2022
Privacyonderzoeker: DuckDuckGo laat Microsoft-scripts op sommige websites door Nieuws van 25 mei 2022
Ontwikkelaar van opensource-e-mailapp FairEmail stopt Nieuws van 19 mei 2022
Nederlands meldpunt kindermisbruik ziet imagehosters naar buitenland vertrekken Nieuws van 5 april 2022
Chrome brengt versie 99 uit met 28 bugfixes en downloadsnelkoppeling in menubalk Nieuws van 3 maart 2022
HAN rondt onderzoek datalek af: ruim 14.000 gevoelige gegevens gestolen Nieuws van 5 oktober 2021
Grindr had lek in wachtwoordresetformulier waardoor accounts kapen mogelijk was Nieuws van 3 oktober 2020
Meer producten en artikelen
Privacy onderzoek Webforms

Reacties (132)

-Moderatie-faq
132
132
71
9
0
51
Wijzig sortering
sjongenelen
12 mei 2022 08:55
Ik mis de tip: hoe voorkom je dit als browser gebruiker
kodak
@sjongenelen12 mei 2022 09:08
Die tips staan in de bron:
https://homes.esat.kuleuv...aky-forms/#leak-inspector
jusch
@sjongenelen12 mei 2022 09:04
inderdaad.
JavaScript uitschakelen, Tor browser via VPN gebruiken en 10 minute email aanmaken voor iedere site.

Gaat me allemaal wat ver en beperkt je nogal online.
david-v
@jusch12 mei 2022 09:13
of een domain aanvragen (8 euro per jaar) en een catchall instellen. Werkt prima. tweakers@mijndomain.nl of wat je maar wilt gebruiken vóór de @. Alles komt aan in je mailbox.

edit:typo

[Reactie gewijzigd door david-v op 12 mei 2022 09:19]

vDorst
@david-v12 mei 2022 09:30
Ik heb dat ook maar door alle gecombineerde gegevens weten veel bedrijven toch dat het domein bij jouw hoort.
Het zou me ook niks verbazen dat ze dan alles op een hoop gooien.

Dus wat je volgens mij wil is gedeelde domeinnaam en IP adressen.
david-v
@vDorst12 mei 2022 09:47
Ik denk dat bedrijven dit soort informatie niet met elkaar delen, volgens mij mag dat niet eens in de EU. VPN gebruiken is uiteraard ook wel handig, naast uBlock Origin en ClearURLs plugin. Ik denk dat je daarmee wel 99% kan tegenhouden.

edit:typo

[Reactie gewijzigd door david-v op 13 mei 2022 19:28]

phYzar
@david-v12 mei 2022 11:16
Ik denk dat bedrijven dit soort informatie niet met elkaar delen
Totdat ze dezelfde tracker-leverancier hebben die wel de gegevens van verschillende bronnen kan ge-/mis-bruiken.
david-v
@phYzar12 mei 2022 11:22
Mag het email adres zomaar aan derden geleverd worden? Ik zou het ook wel knap vinden als ze kunnen ontdekken dat allerlei verschillende email adressen van een en hetzelfde domain van dezelfde persoon afkomstig is, maar dat even terzijde. ik zei niet voor niks 99% ;)
phYzar
@david-v12 mei 2022 11:25
Mag het email adres zomaar aan derden geleverd worden?
Precies de reden dat deze praktijk nieuwswaardig is:
De onderzoekers concluderen ook dat het verzamelen van de adressen waarschijnlijk niet mag onder de AVG. De verzameling gebeurt namelijk zonder toestemming en heeft verder geen grondslag waaronder het bijvoorbeeld nodig is dat de gegevens worden verzameld.
david-v
@phYzar12 mei 2022 11:28
Je hebt gelijk, dat had ik gemist. Dank. Blijft alleen nog de slimmigheid van de profilering om te ontdekken dat het om één persoon gaat achter dat domain. In combinatie met VPN lijkt me dat best lastig en niet rendabel aangezien het niet heel vaak zal voorkomen
Randfiguur
@david-v13 mei 2022 19:18
ClenaURLs
ClearURLs bedoel je? Zo ja, bedankt voor de tip! :)

Edit: bij nader inzien is dit toch wel een erg ingrijpende plugin, misschien kies ik een alternatieve die iets minder rigoureus te werk gaat.

[Reactie gewijzigd door Randfiguur op 13 mei 2022 19:48]

david-v
@Randfiguur13 mei 2022 19:29
Oh haha, ja die, heb de tekst aangepast en link erbij. Ik gebruik de edge extensie.
FreshMaker
@vDorst12 mei 2022 19:46
Dus wat je volgens mij wil is gedeelde domeinnaam en IP adressen.
Dus zeg maar iets als - outlook.com of gmail.com ( of één van de duizenden andere aanbieders )
vDorst
@FreshMaker12 mei 2022 21:56
Precies.
roawser
@david-v12 mei 2022 09:30
Daar dacht ik ook aan, en heb ik zelfs geïmplementeerd via Simplelogin, maar je voorkomt er niet het probleem mee, namelijk dat trackingbedrijven je nog makkelijker in een profiel kunnen stoppen aan de hand van dat ene, bijzondere domein dat bij niemand anders voorkomt maar keurig alle websites verbindt waar jij persoonlijk gebruik van maakt.
Je zou er bijna moedeloos van worden.
CAPSLOCK2000
@roawser12 mei 2022 11:06
Daar dacht ik ook aan, en heb ik zelfs geïmplementeerd via Simplelogin, maar je voorkomt er niet het probleem mee, namelijk dat trackingbedrijven je nog makkelijker in een profiel kunnen stoppen aan de hand van dat ene, bijzondere domein dat bij niemand anders voorkomt maar keurig alle websites verbindt waar jij persoonlijk gebruik van maakt.
Je zou er bijna moedeloos van worden.
Ja en nee, die tracking bedrijven weten niet dat jij de enige bent achter dat domein. Nu geloof ik best dat ze daar met genoeg moeite wel achter komen maar ik denk dat het voor de meesten een struikelblok zou zijn. Dat zeg ik overigens puur op ervaring met programmeren, niet op grond van ervaring met tracking. Ik weet niet hoe geavanceerd ze zijn. Maar als het lijkt op de rest van de softwaremarkt dan zal 90% troep zijn.

Als extra hobbeltje zou je ook nog subdomeinen aan kunnen maken.

Ik heb een kennis die mailt vanaf <website>@spam.van.<naam>.nl.
(Ja, inclusief de tekst spam, en waag het niet dat er automatisch uit te laten knippen door je spambot :) )
memphis
@david-v12 mei 2022 10:10
Heel leuk maar dat is geen oplossing voor de simpele gebruiker.
Maar het geeft wel aan dat de vervelende vraag of je cookies wilt gebruiken geen nut heeft. Maar dat had ik al vanaf het begin gezien toen men verplicht om het plaatsen van cookies moest vragen, nog steeds kon je de trackers en andere zooi detecteren.
david-v
@memphis12 mei 2022 10:15
Ik schat de gemiddelde tweaker iets hoger dan "simpele" gebruiker ;)

Dat van die cookies is dan ook het ergste wat ooit bedacht is. Ze hadden voor de standaard moeten gaan van alleen noodzakelijke cookies toestaan en de rest alleen optin via de instellingen van je account. Kom je op een website waar je zonder account terecht kan, dan alleen de technisch noodzakelijke cookies. Geen popup meer. Aangezien ik regelmatig alles opschonen krijg ik die popup vraag continu...zucht.
Mangu429
@david-v12 mei 2022 11:02
Ik schat de gemiddelde tweaker iets hoger dan "simpele" gebruiker ;)
Dat is het punt niet. Punt is dat je alle gebruikers op een eenvoudige manier wilt beschermen. De hier aangedragen oplossingen volstaan in dat geval niet.
david-v
@Mangu42912 mei 2022 11:11
Er is geen enkele manier om alle gebruikers te beschermen tegen dit soort "acties" van websites. Sommige websites doen dit waarschijnlijk niet eens bewust. Dan blijft alleen nog over wat je zelf kan doen om dit te voorkomen. Daar gaat mijn post over.
Chrono Trigger
@david-v13 mei 2022 11:54
De cookie statement heeft het internet gebruik echt ingrijpend veranderd. Noodzakelijk als de boodschap is mogen we voor gebruiksgemak wel wat regelgeving komen om mensen auto-decline of accept functies te geven. Nu is het functioneel net zo waardevol als de gemiddelde ToA
Phazx
@david-v12 mei 2022 09:42
Ik heb het zelf niet geprobeerd, maar Firefox biedt een vergelijkbare service aan, maar dan uiteraard onder hun eigen domein. https://relay.firefox.com/

Kost een paar centen per jaar extra maar dan valt die info dus niet te combineren.
grasmanek94
@Phazx12 mei 2022 10:52
Genoeg services die het nu al blokkeren, net als 10minutemail, tijdelijke-email, VPNs etc..
Phazx
@grasmanek9412 mei 2022 13:00
Met tijdelijke email ben je natuurlijk je communicatie kanaal snel kwijt, wat misschien niet ideaal is. En inderdaad, ook met aliassen moet je nog steeds een VPN gebruiken als je niet gevolgd wil worden.
PikachuNL
@david-v12 mei 2022 09:31
Nadeel hiervan is dat er de mogelijkheid bestaat dat meneer of mevrouw de spammer erachter komt/detecteert dat het een catchall is. En dan ben je de sjaak, want succes met dat te blokkeren.
david-v
@PikachuNL12 mei 2022 09:41
Tot nu toe geen last gehad van dit probleem. Mocht dat voorkomen, dan neem ik een andere domainnaam. De domain namen die ik kies zijn over het algemeen niet onvervangbaar, ik gebruik ze alleen hiervoor.
hackerhater
@PikachuNL12 mei 2022 10:27
Precies om deze reden gebruik ik geen catchall, maar aliassen :)
Wordt een alias misbruikt voor spam => delete

[Reactie gewijzigd door hackerhater op 12 mei 2022 10:27]

macnerd
@hackerhater12 mei 2022 11:10
Je haalt iets door elkaar denk ik... alle aliassen die niet naar een specifieke mailbox gaan komen in de catch-all mailbox terecht.
hackerhater
@macnerd12 mei 2022 11:38
Nee, ik maak aliassen voor de inbox van mijn hoofd-adres.
Elke alias is een adres voor een specifieke website.
macnerd
@hackerhater12 mei 2022 15:43
Je bedoelt hetzelfde als ik zeg :)

Je hebt een domein en standaard komen alle mailtjes voor dat domein in je catch-all terecht. Als je echter aparte mailboxen maakt en je alias daarnaar verwijst, dan komen ze in die aparte mailbox en niet meer in je catch-all.

Misschien dat jij geen aparte mailboxen hebt en alleen catch-all. Ik heb er zelf wel een paar aangemaakt, nl. persoonlijk (voor mailtjes direct aan mij gericht - voornamelijk vrienden en familie) en nieuwsbrieven. Al het overige komt in de catch-all. Ik heb dit 15 jaar geleden ingesteld na een vakantie in Patagonië, waar ik via een inbelverbinding de honderden spammailtjes moest verwijderen om bij de echte mail te komen. Werkt erg handig vind ik.
Durandal
@macnerd12 mei 2022 17:59
Ik denk dat hij geen catch-all aan heeft staan en telkens een alias aanmaakt.
Kan ook, meer controle maar meer werk.
david-v
@hackerhater12 mei 2022 11:19
Dat is zeker ook wel een optie, maar dan moet je wel eerst de alias aanmaken voordat je die gaat gebruiken, je wilt immers wel de mails ontvangen die naar die alias gestuurd worden. Niet alle diensten bieden die mogelijkheid of vragen meer geld voor ongelimiteerd aantal aliases. Ik heb de keuze gemaakt voor een catchall, en ja, dat heeft het nadeel wat je net noemt. Het voordeel is dat zodra ik ergens een email adres moet opgeven ik direct de naam_winkel@mijndomain.nl kan doorgeven. Ze kijken je eerst heel raar aan, sommige zeggen zelfs dat het een nep email adres is die niet bestaat :D .

Wat me nog niet gelukt is is om bij het replyen ook het opgegeven email adres te gebruiken in de from veld. Dat is niet altijd even triviaal. Moet ik nog wat voor doen.
hackerhater
@david-v12 mei 2022 11:39
Ja om dat goed te doen heb je eigenlijk je eigen domein met toegang tot adres-beheer nodig.
Ik heb mijn eigen server dus ik kan instellen wat ik maar wil.

[Reactie gewijzigd door hackerhater op 12 mei 2022 11:39]

nehal3m
@david-v12 mei 2022 11:59
Je probleemstelling is dus eigenlijk: Ik wil a la minute een random adres kunnen roepen, en later de mogelijkheid hebben dat adres als from: te gebruiken.

Dan kun je in de winkel gewoon doen zoals je nu doet, en eens je uit wilt zenden kun je een alias of een boxje aanmaken. Low tech, maar dat werkt volgens mij prima.
david-v
@nehal3m12 mei 2022 12:04
Klopt, maar dan moet je naast een domain ook email diensten gaan afnemen en dat is duurder. Ik heb achter de catchall een betaalde email dienst en van daaruit zou ik dat willen doen, maar het toevoegen van een externe domain (en bijbehorende aliases) is niet triviaal. Ik probeer het low cost en low tech te houden ;)
Buzz_Fuzz
@david-v12 mei 2022 12:55
Zoiets is anders wel mogelijk via SimpleLogin. Niet zero-cost voor de features die je wil, denk ik, maar imho wel low-cost, en low-tech. (Ik gebruik de gratis tier, maar overweeg te upgraden om m'n eigen domein te kunnen gebruiken.)

Je kan daar "regex catch-alls" aanmaken, catchalls die toch aan bepaalde vormvereisten moeten voldoen voor ze geaccepteerd worden, en omgezet worden in een alias vanzodra er een mail binnenkomt. Je kan ook vanaf aliassen versturen.
Vuurvleugelhart
@Buzz_Fuzz12 mei 2022 22:35
Kan niet wachten dat Proton dit gaat implementeren in hun e-maildienst. Hopelijk kun je dan met een paar klikken mail versturen en ontvangen vanaf een SimpleLogin-mailadres.
DeCo
@david-v12 mei 2022 13:34
precies.. herkenbaar! Sommige bedrijven zijn zelfs enthousiast, als ze een eigen e-mailadres hebben gekregen :o

Ik heb een Google Suite account met een catch-all. Spam wordt prima gefilterd door Google en doorgaans komt er alleen relevante mail op de adressen, die ik opgegeven heb bij de desbetreffende winkel/instantie/etc. Dit werkt erg goed
david-v
@DeCo12 mei 2022 13:51
Ik had dat vroeger ook via google maar ben nu ook aan het degooglen, dus email gaat voortaan via (betaalde) mailbox.org
SpiceWorm
@david-v12 mei 2022 11:09
Dat doet niks voor de invoer van het wachtwoordveld wat naar een 3rd party gaat.
michielRB
@david-v12 mei 2022 11:10
Dat heb ik dus. En inmiddels een kleine 200 aliassen op mijn mailbox (waaronder tweakers@mijndomein.nl)
RoanV
@david-v12 mei 2022 14:31
Wat gebruik jij om je e-mail te hosten als ik vragen mag?
Even een catch-all email opzetten lijkt me wel een nuttig vrijdagavond projectje
david-v
@RoanV12 mei 2022 15:36
Ik maak gebruik van mailbox.org voor mij e-mail. De catch-all configureer je bij je domein provider. Die moet dan wel catch all ondersteunen. Ik maak gebruik van een kleine partij, mihos.net. lekker low cost ;)
tratz
@david-v12 mei 2022 17:50
sommige mailproviders ondersteunen ook een '+' hiervoor. 'k Weet dat dit bij gmail werkt, daar kan je bv het volgende doen: gebruiker+tweakers@gmail.com
david-v
@tratz12 mei 2022 18:29
Dat kan, maar bij sommige websites is een + in je mail adres niet toegestaan.

Wat je wel kan doen, maar het praktische nut is minder denk ik, is bijvoorbeeld bij e-mail adres abcde@gmail.com kan je a.bcde@gmail.com of ab.cde@gmail.com gebruiken. het komt allemaal aan. Gmail haalt alle "." weg in de tekst vóór de @.
tratz
@david-v12 mei 2022 18:31
tnx! die kon ik nog niet
Vuurvleugelhart
@david-v12 mei 2022 22:46
Aanvulling: Combinatie van één puntje met een plus werkt natuurlijk ook. Daarnaast kun je ook nog @googlemail(.)com gebruiken. n.aam+tekst@googlemail(.)com kan dus.
Echter een verstandig mens blijft uit de buurt van de diensten van Google. Bovenstaande principe werkt overigens ook bij Proton.
codekloppertje
@jusch12 mei 2022 09:57
Een 10-minute email of andere diensten hebben ook nadelen. In feite weet je niet waar de mail heen gaat, omdat die diensten natuurlijk heel geheim werken.

Een aantal werken samen met anti-spam diensten en die hebben ook big-data (ze zullen het niet snel delen, maar weggooien doen ze zeker niet). Nu hebben we nog geen data lekken gezien van anti-spam diensten, maar uitgesloten is dat ook niet.

Geen idee of er nog andere actoren zijn die zoiets opzetten. Ik vermoed van wel; geeft veel inzicht in het email landschap.

Je kan beter een eigen domein gebruiken met een catchall.

edit: Veelvuldig gebruik van tijdelijke email adressen maakt ook profilering mogelijk door de tijdelijke email dienst.

[Reactie gewijzigd door codekloppertje op 12 mei 2022 10:12]

moonlander
@jusch12 mei 2022 10:13
Ja uitschakelen, succes met internet. De beste manier is gewoon zelf nadenken op welke sites je info achterlaat. En welke gegevens..
macnerd
@moonlander12 mei 2022 11:15
Op een plaats waar je verplicht een geboortedatum moet invullen, maar die ze niet nodig hebben, vul ik dus altijd 01-01-1980 in (de datum die een XT-computer gebruikte als de batterij op was). En zo heb ik wel meer van die dingen: tot 2001 vulde ik vaak Afghanistan in als land (want 1e in lijst), als straat geef ik vaak Dorpstraat op etc. Als ze het niet nodig hebben dan vul ik fake data in. Als er iets bezorgd moet worden, of het is iets officieels dan vul ik de echte gegevens in (en nog steeds een alias voor mail).
Vuurvleugelhart
@macnerd12 mei 2022 22:51
Was dat niet 1970?
macnerd
@Vuurvleugelhart12 mei 2022 23:53
Da's volgens mij Unix. Rond 1984/1985 kwam er bij ons thuis een XT (met een 8086 processor) en MS-DOS erop. En die had echt als default datum 1 januari 1980... vaak genoeg gezien ;)
Lapjespoes
@moonlander12 mei 2022 12:18
Het grote probleem met trackers is dat je niet bewust kiest informatie achter te laten. Ze bouwen een gedetailleerd profiel van je op basis van browsegedrag, software-informatie en hardware-informatie. Waar jij je ook bevindt op internet onder welke pseudoniemen dan ook, is er een grote kans dat je door fingerprinting geïdentificeerd wordt. Dit kan zelfs als je je verbergt achter een VPN.
Vuurvleugelhart
@moonlander12 mei 2022 22:50
Helaas niet. Heb ervaring met 'n bank in Nederland (geen kleintje) die mijn mailadres lekte aan derden. Niet één adres, zelfs twee. Om die reden weet ik ook dat zij nooit de andere gedupeerde ingelicht hebben.
DevWouter
@jusch12 mei 2022 10:34
Je kan ook data stelen via CSS, iets lastiger, maar nog steeds relatief simpel.
https://vwzq.net/slides/2019-s3_css_injection_attacks.pdf

(update: Betere bron)

[Reactie gewijzigd door DevWouter op 12 mei 2022 10:35]

Triblade_8472
@sjongenelen12 mei 2022 09:06
Niet, dat is het probleem.
Wellicht klachten sturen naar browser bouwers (dat ze forms data somehow afschermen tegen vroegtijdige doorgave) of de AP.

Maar ja, het grootste probleem is dat je hier zo goed als niet achterkomt. Laat staan wanneer die zaken versleutelde verstuurd worden.
dieAndereGozer
@Triblade_847212 mei 2022 09:19
Of gewoon een extensie maken die bogus data verstuurt, dan leren ze het wel af als 2 % van de internet gebruikers dit doen.
WizX
@dieAndereGozer12 mei 2022 11:48
Je bedoeld zo iets als adnauseam? https://adnauseam.io/
dieAndereGozer
@WizX12 mei 2022 12:18
Die klikt alleen op advertenties als ik het mij goed herinner.
WizX
@dieAndereGozer12 mei 2022 13:02
Die blokkeert ook tegenwoordig op basis van dezelfde filters als uBlock (is het ook op gebaseerd).

https://lifehacker.com/co...rome-extension-1846337139

"AdNauseam is a lightweight browser extension that blends software tool and artware intervention to actively fight back against tracking by advertising networks. AdNauseam works like an ad-blocker (it is built atop uBlock Origin) to silently simulate clicks on each blocked ad, confusing trackers as to one's real interests. At the same time, AdNauseam serves as a means of voicing your discontent with advertising networks that disregard privacy and engage in bulk surveillance."

edit: Hij "Hide" ze indien ingesteld, en dan wordt er op geklikt.

[Reactie gewijzigd door WizX op 12 mei 2022 13:23]

dieAndereGozer
@WizX12 mei 2022 13:13
Ik dacht dat het inderdaad alleen was om fake clicks te sturen naar alle ads die geladen werden. En dat inderdaad verborg en uitzocht a.d.v. ublock lists.
Kabouterplop01
@sjongenelen12 mei 2022 09:04
ja mee eens, want je kunt die wel blocken op je pihole of je firewall, maar dat heeft geen nut.
De calls worden gemaakt vanaf de webserver richting de tracker, dus heb je er geen invloed op.
Het enige wat je kunt doen is nooit meer een webform invullen.
Korvaag
@Kabouterplop0112 mei 2022 09:10
Misschien dat ik het verkeerd lees maar het gaat hier om calls voor het submitten van een form. Daar weet de webserver dus nog niets van. Dit wordt client side verstuurd door een actie in de pagina. Daar werken blockers wel degelijk tegen.

[Reactie gewijzigd door Korvaag op 12 mei 2022 10:43]

Kabouterplop01
@Korvaag12 mei 2022 09:14
Ja in dat geval heb je gelijk. Maar als dat serverside is, dan uiteraard niet.
Maar ik denk dat er wel Dev's zijn die hier iets zinnigs over kunnen vertellen. Ik zou dat wel eens schematisch via een tekening uitgelegd willen zien.
Proliges
@Korvaag12 mei 2022 09:15
Een wijziging op het veld kan ook een postback triggeren. Zeker als je controles op het veld wil uitvoeren en je een serversided language gebruikt.
Burkle
@sjongenelen12 mei 2022 09:01
combinatie van ublock en canvas fingerprint blocker
sjongenelen
@Burkle12 mei 2022 13:55
Top ublock had ik al, die andere moet ik dus ook hebben :)
estej
@sjongenelen12 mei 2022 09:02
Volgens het artikel staan de meeste domeinen al op blocklists. Dus ik vermoed dat plugins als ublockorigin of dingen als Pihole dit al blokkeren
Hann1BaL
@sjongenelen12 mei 2022 09:03
Zaken als addblockers en Adguard en/of Pi-holes lossen dit probleem dus op. Een zeer groot deel van de gebruikers heeft deze niet, maar dit soort berichten tonen eigenlijk de noodzaak wel aan.
EmbeddedPower
@sjongenelen12 mei 2022 09:13
In het onderliggende artikel wordt een proof-of-concept-oplossing gegeven: LeakInspector.
Een tool die ze zelf ontwikkeld hebben.
Geen idee over de status en of het echt werkt, maar het lijkt me de moeite waard om te proberen.

Ik vind al deze dataverzameling heel erg eng worden...
dieAndereGozer
@sjongenelen12 mei 2022 09:17
Noscript lijkt me een goede.
heuveltje
@sjongenelen12 mei 2022 09:25
gewoon niet invullen :?
YopY
@sjongenelen12 mei 2022 09:42
Wat anderen ook al zeggen, anti-tracker addons zoals ublock, ghostery (? ik weet niet of die ondertussen corrupt is), en een pihole; soms ondersteunt een webshop ook paypal die het adres direct aan de webshop door kan sturen (zonder dat een 3rd party tracker bij je info kan... maar neem dat met een grote korrel zout).

Maar dat is het probleem hierbij, het wordt overgelaten aan de individuen, de slachtoffers. Gelukkig zijn er mensen binnen de EU die hiervoor opgekomen zijn - en nog steeds zijn - en is er de GDPR die dit soort praktijken illegaal maakt.
Oon
12 mei 2022 08:48
Interessant dat de NOS hier bijna een volle dag eerder mee was: https://nos.nl/artikel/24...ine-je-e-mailadres-invult

Maar was dit niet al gewoon algemene kennis? Als web developer kom ik de meest invasieve dingen tegen, tools als HotJar die gewoon je muis volgen en als filmpje af kunnen spelen, met hotspots van waar je het langste met je muis of qua scrollpositie bent blijven hangen.

Sommige sites hebben zelfs volledige keyloggers ingebakken om te zien hoe je je muis en toetsenbord gebruikt, alle keystrokes worden dan verzonden en op basis van een rapport wordt die data gefilterd op de relevante keystrokes, maar de data is volledig beschikbaar en per input in te zien. Dat gebeurt in de meeste gevallen niet eens als hash, maar gewoon as-is.
erwn
@Oon12 mei 2022 08:55
Dit lijkt me toch geen algemene kennis voor het gemiddelde publiek? Al zal het veel lezers hier waarschijnlijk niet verbazen.

Ter info, op de gelinkte website ( https://homes.esat.kuleuven.be/~asenol/leaky-forms/ ) staan ook alle resultaten, dus op welke websites er al gegevens werden verstuurd en naar welke tracker.

Mooi onderzoek in ieder geval. Spijtig resultaat.

Edit: als je zoekt op .nl

www.hostnet.nl
www.vogelbescherming.nl
www.bruna.nl
www.ritel.nl
www.iexprofs.nl

Vogelbescherming lijkt me dan typisch zoiets dat onbedoeld en zonder het zelf te weten dit soort dingen doet; met dank aan hun analytics software. Dat is misschien nog wel erger. (Of misschien gewoon een naïeve aanname van mij.)

Edit 2: in het NOS-artikel staat een reactie van de Vogelbescherming. Het was een naïeve aanname van mij.

[Reactie gewijzigd door erwn op 12 mei 2022 10:23]

P_Tingen
@erwn12 mei 2022 09:08
Van de vogelbescherming vind ik het inderdaad diep triest. De informatie die ze willen krijgen ze ook al als het formulier wordt ingevuld dus ik zie de noodzaak er niet zo van om luistervinkje* te spelen tijdens de invoer. Laten ze hun bezoekers ook eens net zo beschermen als de vogels.

* I'll see myself out
FreshMaker
@P_Tingen12 mei 2022 19:44
Een groot probleem hier is dat in veel gevallen automatisch invullen al aanstaat in de browser.
Some heeft Chrome of Firefox het halve formulier al met jouw NAW ingevuld.

Dat is dan ook al 'binnen' bij de betreffende uitbater.
Kecin
@erwn12 mei 2022 16:09
Schrik niet (zal geen namen noemen) over welke goede doelen aan “ux-tracking” doen. Ofwel: wat wou men typen in de formulieren en wat heeft men uiteindelijk verstuurd. Zijn verschillende stichtingen erg druk mee bezig. En dan heb ik het over 2016.
Kenhas
@Oon12 mei 2022 08:59
Ik zie toch nog wel een verschil tussen HotJar die anoniem (volgens hun bewering) bewegingen volgt en dit.
Ik zie Hotjar dan meer als een hulpmiddel om je site intuïtiever te maken, zolang het niet gekoppeld wordt aan een profiel. En voor zover ik weet, gebeurt dat koppelen niet. Mocht dat wel zo zijn (klant X heeft dit en dit gedaan op de site), dan valt het inderdaad in dezelfde categorie en is het even verontrustend.

Het doorsturen van email adressen en zo, vind ik al een stuk kwalijker en mag gerust bestraft worden met zeer zware boetes.
CAPSLOCK2000
@Kenhas12 mei 2022 11:17
Als eindgebruiker ken ik HotJar niet. Ik heb geen enkele reden om ze te vetrouwen. Ik heb niet eens een contract met ze. Dat ze nu goed om gaan met de data neem ik van je aan maar de volgende eigenaar kan daar heel anders over denken en een eventuele inbreker (dat gebeurt overal) ook niet.

Verder is mijn ervaring dat de meeste mensen niet zo sterk zijn in het overzien van privacy(wetgeving), dat er overal oogjes dicht worden geknepen en kantjes er vanaf gelopen. Bedrijven die iets met tracking doen zoeken al snel de grens op. Als je dat combineert met de typische menselijke gebreken dan ga ik er maar van uit dat ze over de grens gaan en verder dan ze zelf weten.
Daar is geen boze opzegt voor nodig, alleen het bewust dicht bij de grens gaan zitten ipv een ruime veiligheidsmarge te houden.

Overigens vind ik het creepy dat mensen zo in detail gevolgd worden, of dat nu anoniem is of niet.
Oon
@Kenhas12 mei 2022 09:29
Het probleem is dat veel marketingafdelingen een hele suite aan tools op de website dumpen waarbij allerlei informatie wordt verzameld die dus wel te herleiden is naar een persoon.

Als het puur HotJar en misschien Google Analytics is waarbij met data sampling wordt gewerkt, dan is het niet zo'n probleem. Maar met veel van die tools kun je gewoon inzoomen op een individuele gebruiker en alle bezoeken van die gebruiker analyseren.
Kenhas
@Oon12 mei 2022 13:53
Dat zeg ik ook in mijn post. Zolang er niet gekoppeld wordt aan een profiel, heb ik er niet onmiddellijk zo'n probleem mee.

Dergelijke tools kunnen een site veel verbeteren. Maar één stapje verder (koppelen) is direct de stap te ver.
Heb HotJar nog nooit gebruikt dus of hun eigen bewering klopt dat er niet gekoppeld wordt, weet ik niet maar ergens ga ik uit dat het klopt. Het is een commercieel bedrijf en die moeten toch iets meer opletten hoe ze omgaan met data.
dieAndereGozer
@Oon12 mei 2022 09:22
Ik gebruik gewoon noscript en zet heel selectief dingen aan om te zorgen voor een site die ik kan lezen / gebruiken. Al die andere troep blijft eruit. En als het eenmaal werkt dan in andere volgorde dingen uitgooien om zo weinig mogelijk aan te hebben.

Kost initieel wat moeite, maar daarna heb je gewoon sites die werken.
Bij sommige sites als kijk.nl en npostart.nl haal je gewoon de video advertenties weg hiermee, wat wel grappig is.

Dat in combinatie met iedere site in een eigen container(multiaccount containers). En dan eens per week je settings exporteren, dat je altijd een backup te hebben.

Dit alles icm ublock zou 99 % wel blocken.
Omnicron1
@Oon12 mei 2022 11:28
Ook ik dacht dat ik bij was. Maar dit verbaast me . Juist omdat de gemiddelde internet gebruiker dit vermoed ik niet eens weet. Maakt mij dus ook een gemiddelde gebruiker. Is dat niet strafbaar ? En hoe kan je zoiets testen? Er lekt immers steeds meer heimelijke dat weg. En om het te kunnen controleren moet je goed thuis zijn in de bron en diens opbouw.

Tegelijk vraag ik me dan af of dit geen antwoord is op zaken zoals ghostery lightbeam ed....
Cyb
12 mei 2022 09:12
Het bekijken van de pagina van de onderzoekers, is wel de moeite waard. Het bevat een zoekfunctie om de sites te zien. Om een paar op te noemen: Ledger, Trello, Time, Udemy, TheVerge, Shopify, Prezi, Norton, Codecademy, Cloudflare, Starbucks, MongoDB, Weightwatchers, Telegram, Vultr, Yandex, GitLab, Mcafee, WebMD, Heathline,

Onder de collectors zitten Facebook en Tiktok.
R4gnax
@Cyb12 mei 2022 10:13
Facebook
Dat verbaast me dan weer niets. Al terug in 2010 toen ik de minified scripts voor hun share/like/etc. widgets aan het ontleden was om een compatibility-probleem terug te traceren, kwam ik code tegen die globale change listeners inhaakte en elke wijziging van elk invoer veld op de webpagina oplepelde en met een XmlHttpRequest richting Facebook's servers wegscheepte.

Kunnen we deze troep gewoon noemen wat het is?
Namelijk een f---ing ordinaire key logger - met al het bijhorende stigma.

[Reactie gewijzigd door R4gnax op 12 mei 2022 10:15]

LOTG
@Cyb12 mei 2022 09:25
Triest dat er toch wel een aantal al in jou lijstje staan waar ik toch meer van verwacht had, Udemy, Codeacademy en GitLab vind ik nogal het frappantste hebben ze ook tutorials/repos er voor op hun eigen site staan?

WebMD is ook leuk, is Facebook meteen op de hoogte van eventuele gezondheidsklachten.
Enai
@LOTG12 mei 2022 10:59
"Vertrouwen" op het internet betekent gewoon "marge om met zaken weg te komen".
Olympus user
12 mei 2022 09:23
Tja is dat te voorkomen en wat doen of willen we ermee ?
Volgens Ublock en Privacy badger nu op deze pagina actief :
securepubads.g.doubleclick.net
www.google-analytics.com
w.usabilla.com
doubleclick.net
persgroep.digital
Kees
@Olympus user12 mei 2022 12:24
De doubleclick en google-analytics gaan binnenkort weg. Persgroep.digital is het cdn van de persgroep en daar komen de vacature plaatjes op de frontpage vandaan. Dat domein doet verder niet aan tracking, bij mij zijn er iig geen cookies gezet en ik krijg ook geen cookiemelding terug. Zouden we eventueel wel weg kunnen werken.

Usabilla is een tool om feedback van gebruikers mee te verzamelen
Olympus user
@Kees12 mei 2022 17:13
Dank je wel Kees, alweer wat geleerd vandaag, stel ik altijd op prijs.
Wouterie
@Olympus user12 mei 2022 11:39
plan: Tweakers stopt met thirdpartytracking en cookiemuur

Tja, Tweakers is niet van zichzelf en moet dus in zekere mate meedoen met wat de grote mama wil. En er moeten ook kosten gedekt worden.
Olympus user
@Wouterie12 mei 2022 17:16
Vooral het stukje duidelijkheid lijkt mij het belangrijkste.
Zet maar overdreven groot neer wat je meet, hoe en waarom, dan hebben de meeste er geen probleem mee.
ben2513
12 mei 2022 09:05
Dit is mij een jaar of drie geleden ook gebeurd bij Swapfiets. Voor de lul even gekeken wat het uiteindelijk zal kosten, zonder de bestelprocedure af te sluiten. De volgende dag kreeg ik serieus een belletje van Swapfiets. Toen ik vroeg hoe ze aan mijn gegevens kwamen (zonder een aangemaakte account uiteraard) zeiden ze dat ze het deels ingevulde formulier nog kunnen zien. Sindsdien ben ik hier iets voorzichtiger mee.
roawser
@ben251312 mei 2022 09:33
Hopelijk heb je geleerd om voor het uitproberen van een inschrijfformulier, en wie probeert dat nu nooit, telefoonnummer 0612345678 in te vullen. Degene die dat fantastische nummer heeft moet wel gek worden van marketeers.
Caayn
@roawser12 mei 2022 10:32
Ook voor formulieren waar een telefoon verplicht is maar totaal niet relevant is, is dat een fantastisch telefoonnummer om te gebruiken.
Finraziel
@ben251312 mei 2022 10:33
Zo, dat zou voor mij gelijk genoeg reden zijn om dat bedrijf permanent op de blacklist te zetten... Als ze hier geen problemen mee hebben dan kun je raden wat voor bedrijf het verder is.
SPee
@ben251312 mei 2022 19:40
Swapfiets is echt niet de enige. :(
Ook een "bekende fitness toko" deed dat. Daar hadden ze tenminste nog een smoesje "wij hadden technische problemen en hebben mogelijk jouw aanmelding gemist".
MazDaMan1970
12 mei 2022 09:47
Word dus tijd dat dit soort wanpraktijken juridisch aangepakt gaan worden. Ben blij dat ik in mijn browser Ublock en privacy-badger, plus de nodige adblockers geïnstalleerd heb. Maar het merendeel van de argeloze gebruikers heeft dat dus niet en deze doelgroep is sowieso gevoelig wat privacy betreft (het gebrek er aan) mede door onkunde en onverschilligheid.

[Reactie gewijzigd door MazDaMan1970 op 12 mei 2022 11:34]

MorbidKetchup98
@MazDaMan197012 mei 2022 09:51
Een adblocker hoeft dit soort praktijken niet tegen te gaan. Het versturen van de data voordat het formulier wordt bevestigd kan simpelweg ingebakken zijn in de code. Ga er dus niet vanuit dat je veilig bent met deze add-ons.
Kees
@MorbidKetchup9812 mei 2022 12:29
Het is natuurlijk niet altijd kwaadaardig als je data van een formulier alvast verstuurt naar de server voordat de gebruiker op een knop drukt. Denk bijvoorbeeld aan het automatisch invullen van een woonplaats/straatnaam op het moment dat je een postcode invult. Of je emailadres direct bij het invullen van een registratieformulier controleren zodat je niet pas na het versturen van het formulier te zien krijgt dat het emailadres al in gebruik is.

Maar de data moet dan wel naar de website gaan waar je op dat moment mee aan het praten bent, en niet een derde partij waarvan je geen idee heeft wat die met de data doet.
daanb14
@MorbidKetchup9812 mei 2022 10:12
Als ik in de e-mail leak resultaten zoek bij het onderzoek vangt uBlock Origin 180 van de 222 pagina’s af. Dat is een heel flink deel. Security, maar ook privacy comes in layers natuurlijk.
MazDaMan1970
@MorbidKetchup9812 mei 2022 11:33
Nee, daarmee wil ik alleen aangegeven dat adblockers ernaast noodzakelijk zijn, om geen rotzooi binnen te krijgen.
TimRoelofs
12 mei 2022 09:07
Geen fijne combi met de auto-aanvul opties die tegenwoordig gebruikt worden.
Jism
@TimRoelofs12 mei 2022 09:14
Correct. Vroeger kon men gewoon een hidden credit card formulier meesturen. Die werd door een browser automatisch ingevuld.
HenkieTenk
12 mei 2022 09:20
Heb me altijd afgevraagd of dit kon. Ja dus.

Zo vraag ik mij ook wel eens af of de tekst in een chat naar bijv KPN of een ander bedrijf ook al gelezen kan worden voordat er op "verzenden" is geklikt?
roawser
@HenkieTenk12 mei 2022 09:35
Dat kan zeker, al jarenlang. Tik maar eens in google in "wat is de grootste " en je ziet meteen suggesties, Kan niet anders dan Google weet op dat moment al wat je aan het intypen bent; bij chatboxen werkt het hetzelfde.
HenkieTenk
@roawser12 mei 2022 09:52
Ja dat is waar natuurlijk. Niet aan gedacht. Bij een chatbot snap ik deze functie wel, de software erachter kan immers sneller het antwoord zoeken. Maar zou dit ook gebruikt worden bij een chat helpdesk waar een persoon aan de andere kant zit? Lijkt me onhandig om stukken tekst te lezen die nog gecorrigeerd worden door de vraagsteller. Of krijgt die dan zoiets te zien:

Waar kan het ik mijn kabouter router het beste plaatsen? Pff dit duurt lang

Of krijgt deze alleen de uiteindelijke tekst te zien na het drukken op "verzenden"?
Daoka
@HenkieTenk12 mei 2022 11:19
Ik ga niet zeggen dat het niet gebeurd maar van de chats die ik zover heb gedaan lijkt het er niet echt op. Bij veel chats zie je wanneer de andere aan het typen is (uiteraard zou dit ook nep kunnen zijn). Maar er even van uit gaan dat het echt is zie ik mensen pas typen na mijn vraag/reactie. Kan me moeilijk voorstellen dat ze een bepaalde laat typen zien aan/uit knop hebben of dat de software slim genoeg is om dit automatisch te verbergen. Ook heb ik nooit het gevoel gehad dat iets te snel getypt is. Al zijn er natuurlijk verschillende chat programma's en zal ik ze nog lang niet allemaal hebben gezien.
batjes
@roawser12 mei 2022 09:53
Bij chatboxen heeft het nog zin, dan men aan de andere kant al beginnen met antwoorden zoeken terwijl iemand aan het typen is.
codekloppertje
@roawser12 mei 2022 10:06
En het is ook niet per definitie verkeerd... totdat je het gaat doorsturen en/of zonder toestemming gaat gebruiken.

Soms ben ik bezig met het invullen van een groot formulier en dan komt er wat tussendoor. Dan ben ik wel blij dat niet alles verdwenen is.
RICCTWK
12 mei 2022 09:45
Ik ben benieuwd of hier ook invoervelden zijn meegenomen van live chats. Ik weet niet of dat het minder kwalijk maakt, maar dat is wel een functie die wordt gebruikt voor klantenservicemedewerkers om alvast na te denken (of actie te ondernemen) over de volgende stap.

Ik benoem dit omdat ik er persoonlijk minder moeite mee zou hebben als dit (ook voor de gebruiker) functioneel kan zijn.
R4gnax
@RICCTWK12 mei 2022 17:14
Ik benoem dit omdat ik er persoonlijk minder moeite mee zou hebben als dit (ook voor de gebruiker) functioneel kan zijn.
Ik noem dat eerder hostile naar de gebruiker, want het geeft de medewerker meteen inzicht in hoe zeker de gebruiker is van zaken en hoe vertrouwt deze is in het handelen daarop; of afhandelen daarvan.

Cq. munitie om mee te schieten als mensen afgewimpeld moeten worden.
Vexxon
12 mei 2022 08:48
Verregaande tracking, browser fingerprinting en nu dit. En maar klagen als de regels aangescherpt worden en mensen steeds meer adblockers en andere privacy plug-ins gaan gebruiken.
Omnicron1
@Vexxon12 mei 2022 11:32
En juist daaroverkrijg ik steeds meer twijfels. Doen die wel wat ze beloven?
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee