Digitale vingerafdrukken zijn de nieuwe cookies, maar ze zijn niet te verwijderen

© iStock
Michael Ilegems Chef van Knack Focus en KnackFocus.be

Canvas fingerprinting is een nieuw mechanisme waarmee websites het internetgedrag van hun bezoekers kunnen volgen. Onderzoeker Gunes Acar legt aan Data News uit hoe het werkt en wat de gevaren zijn.

De KU Leuven en de Princeton University onthulden zopas een nieuw onlinetrackingsysteem genaamd canvas fingerprinting , waarmee websites ongevraagd de internetactiviteiten van hun bezoekers kunnen volgen. De 34-jarige Turkse PhD-student Gunes Acar, die het onderzoek mee voerde voor de KU Leuven, legt aan Data News uit hoe dit systeem precies werkt, welke gebruikersinformatie ermee blootgelegd wordt en of en hoe het mechanisme de virtuele wereld uit geholpen kan worden.

“Websites gebruiken al langer programmaatjes of scripts waarmee ze profielen van gebruikers kunnen opstellen waarin hun surfgedrag bijgehouden wordt – waar ze zoal op geklikt hebben, wat ze online gekocht hebben, welke video’s ze bekeken hebben, enzovoort. Aan de hand daarvan kunnen die sites bijvoorbeeld advertenties op maat van deze gebruikers aanbieden”, zegt Acar.

“Aanvankelijk werden daar cookies voor gebruikt; kleine tekstbestandjes met informatie over jou die in de browser worden opgeslagen. Telkens je een website bezoekt, stuurt jouw browser deze cookies automatisch door naar de servers van de site, zodat die jou kan herkennen. Maar je kunt dit beletten door de cookies te verwijderen.”

Bij browser fingerprinting ligt dat anders, aldus Acar. “Het is een soortgelijk trackingmechanisme om gebruikers te herkennen, waarbij informatie verzameld wordt over je apparaten, je browsers, je besturingssysteem, je tijdzone, je taal, je plug-ins… Deze stukjes informatie zijn per computer verschillend, en kunnen dus als identificatiemiddel dienen. Maar zelfs als je je cookies verwijdert, kunnen websites deze informatie bij jouw volgende bezoek opnieuw vergaren en weten ze weer wie je bent.”

Canvas fingerprinting is de nieuwste vorm van browser fingerprinting, legt Gunes Acar uit. “Wanneer je een website bezoekt, wordt er op jouw scherm een onzichtbare afbeelding getekend met de Canvas-API – één van de recent toegevoegde functies in browsers, doorgaans gebruikt om animaties, games of andere interactieve content te creëren. Ook hier weer: doordat de graphics drivers, besturingssystemen en browsers van elke computer anders zijn, zijn de gecreëerde afbeeldingen uniek en kunnen die gebruikt worden om jou te identificeren en te traceren.”

Gevaarlijk zijn die digitale vingerafdrukken volgens Acar niet, maar erg lief zijn de bedrijven die ze bijhouden ook weer niet. “Over cookies heb je controle: je kan ze blokkeren of verwijderen. Bij browser of canvas fingerprinting heb je die keuze niet. Je vingerafdrukken worden bijgehouden zonder je medeweten, en ze zijn niet te verwijderen. Het gebruik van de veilige Tor-browser of tools als AdBlock of Disconnect.me kunnen helpen, maar ook slechts deels.”

Er zijn om en bij de twintig bedrijven die dit online trackingsysteem gebruiken, ontdekten Gunes Acar en zijn team. Het Duitse advertentiebedrijf Ligatus is er daar één van. Maar het Amerikaanse socialbookmarkingbedrijf AddThis is het voornaamste. Dat is een aanbieder van welbekende ‘share’ -en ‘follow’-knoppen. Duizenden sites, waaronder YouPorn en de webstek van het Witte Huis, zijn met zulke buttons uitgerust. Al die sites nemen dus ook digitale vingerafdrukken – al dan niet zonder dat ze het zelf beseffen. “Het probleem is dat je niet eens een ‘share’- of ‘follow’-knop hoeft in te drukken om getraceerd te worden”, zegt Acar. “Van zodra je op zo’n site zit, gebeurt het.”

Waarvoor gebruikt een bedrijf als AddThis de info die het over websitebezoekers verzamelt? “Goeie vraag”, zegt Acar. “Wij hebben zelf geen data die aantonen wat zij met die gegevens doen. Wel heeft de CEO van AddThis tegenover mij en één van mijn collega’s van de Princeton University beweerd dat zijn bedrijf enkel canvas fingerprinting gebruikt voor een experiment, en niet om gebruikers te benaderen met bijvoorbeeld commerciële aanbiedingen. Nu, uit ons onderzoek blijkt dat AddThis in januari van dit jaar begon met fingerprinten. Ze zijn er nu dus zes maanden mee bezig. Vrij lang voor een testje van een nieuwe technologie, vind ik. Maar nogmaals: ik kan niet bewijzen of hij gelijk heeft of niet.”

Blijkbaar hebben Gunes Acar en de zijnen wel wat losgemaakt met hun onthullingen, want volgens de PhD-onderzoeker zijn zowel AddThis als Ligatus gestopt met canvas fingerprinting. En YouPorn, whitehouse.gov en anderen hebben de AddThis-buttons van hun websites gehaald.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content