211service.com
De duistere wereld van webtracking door derden
Een van de meest duistere gebieden van internethandel is de internationale handel in persoonlijke informatie die is verzameld door bepaalde bedrijven die ons online gedrag volgen. Dit soort gegevensverzameling door derden is alomtegenwoordig op internet dankzij de eenvoudige cookie.
Een cookie is een klein stukje gegevens dat een website in uw browser laadt. Elke keer dat u die site in de toekomst bezoekt, stuurt de browser die cookie terug naar de server zodat de website dit kan correleren met uw eerdere activiteit.
Cookies zijn een essentieel onderdeel van internethandel en worden ook gebruikt bij analyses. Ze zijn veilig in de zin dat ze geen virussen kunnen dragen. Maar waar veiligheid minder duidelijk is, is dat ze het mogelijk maken om een beeld op te bouwen van je online activiteit, zeker wanneer een website trackers bevat van een derde partij, zoals een adverteerder of analytics provider. Deze trackers van derden zijn vaak in staat om uw activiteiten op verschillende websites samen te voegen en wanneer dat gebeurt, wordt de kwestie van privacy nijpender.
Dat roept een aantal belangrijke vragen op. Hoe gebruiken deze bedrijven de gegevens die ze verkrijgen, waar worden ze opgeslagen en wie heeft er toegang toe? De wet voor dit soort activiteiten is in veel delen van de wereld een bijzonder troebele grijstint, dus de antwoorden zijn helemaal niet duidelijk.
Maar een belangrijke stap naar meer transparantie is om te vragen welke bedrijven zich in de eerste plaats bezighouden met dit soort gegevensverzameling en waar ze hun vak uitoefenen.
Vandaag krijgen we een antwoord dankzij het werk van Marjan Falahrastegar aan de Queen Mary University, Londen, en een paar vrienden die enige tijd hebben besteed aan het volgen van de trackers in landen over de hele wereld. Het beeld dat ze onthullen, is van een wereldwijd ecosysteem van tracking door derden dat laat zien hoe groot deze praktijk is geworden.
Hun aanpak is relatief eenvoudig. Ga naar een website en deze laadt cookies die vervolgens kunnen worden bestudeerd. Meestal laadt een website cookies van het domein dat wordt weergegeven in de adresbalk van de browser, maar laadt ook cookies van andere domeinen van adverteerders en analysebedrijven. Deze trackers van derden kunnen worden opgemerkt omdat hun domein niet overeenkomt met dat van de bezochte website.
Falahrastegar en co hebben een browserextensie gemaakt die deze informatie automatisch voor elke website downloadde en vervolgens de cookies wist voordat ze naar een andere website gingen. Vervolgens bezochten ze de websites van de 500 meest populaire websites in landen over de hele wereld.
Een praktisch probleem waarmee ze werden geconfronteerd, is dat de cookies afhankelijk kunnen zijn van de geografische locatie van de browser. Dus een browser in het VK die een site in China bezoekt, kan andere cookies krijgen dan een browser in Peking.
Om dit te omzeilen, gebruikten Falahrastegar en co een wereldwijd onderzoeksnetwerk genaamd PlanetLab, dat knooppunten heeft in veel landen over de hele wereld en zo toegang geeft tot lokale websites alsof de browser lokaal is gebaseerd.
In totaal verzamelde het team gegevens uit 28 landen met behulp van PlanetLab-knooppunten. En ze vonden trackers van derden van bedrijven over de hele wereld. Google heeft bijvoorbeeld meer dan 40 domeinen van derden die over de hele wereld worden gebruikt, Microsoft heeft er 19, eBay 7 enzovoort. Er zijn tal van minder bekende namen die veel domeinen van derden gebruiken, zoals knet.cn, iponweb.net en sina.
De resultaten bieden een fascinerend inzicht in de aard van trackingservices van derden. Het team ontdekte bijvoorbeeld dat de distributie van trackinggegevens van derden in Europa, Oost-Azië, Oceanië en Zuid-Amerika min of meer gelijkmatig was. Daarentegen was het aantal trackinggegevens van derden in Turkije en Israël veel groter.
De herkomst van deze derde partijen is interessant. Derden uit Duitsland en Rusland komen vooral veel voor bij het volgen van gebruikers over de hele wereld. En derde partijen uit de VS zijn ingebed in populaire websites in het Midden-Oosten.
Falahrastegar en co zeggen dat daar een goede reden voor is. Ze wijzen erop dat de distributie van derden de wettelijke beperkingen weerspiegelt die lokaal gelden. In de Europese Unie en Australië zijn er bijvoorbeeld specifieke wetten over de informatie die kan worden verzameld en hoe gebruikers op de hoogte moeten worden gesteld. Het is dus geen verrassing dat er op deze plaatsen een redelijk gelijkmatige verdeling is van trackers van derden.
Daarentegen zijn er geen specifieke wetten in landen als China en Turkije, waar trackers van derden meer ongebreideld lijken te zijn.
Bovendien is de wet complex in plaatsen als de VS en Rusland, terwijl Duitsland nog geen Europese wetten op ePrivacy heeft uitgevaardigd, dus ook daar is de situatie dubbelzinnig. Dit verklaart de hoge aanwezigheid van diensten van derden in specifieke landen zoals de VS, Duitsland en Rusland, zeggen Falahrastegar en co.
Het grotere plaatje is dat in veel delen van de wereld het verzamelen van persoonlijke gegevens slecht of helemaal niet wordt gecontroleerd. Onze observaties suggereren dat privacyregelgeving, met name op het gebied van cloud computing, meer aandacht vereist van de regelgevende gemeenschap, concluderen Falahrastegar en co.
Het vooruitzicht dat de internationale regelgevende gemeenschap deze brandnetel grijpt, lijkt ver weg. Maar het opent wel de mogelijkheid dat een andere organisatie ingrijpt om de transparantie op dit gebied te vergroten. De eerste stap om te begrijpen hoe persoonlijke gegevens worden gebruikt, is het onthullen van de details van wat er aan de hand is.
Falahrastegar en co hebben de eerste stap gezet nu zullen anderen deze bal moeten oppakken en ermee rennen.
Referentie: arxiv.org/abs/1409.1066 : Anatomie van het webtracking-ecosysteem van derden