Hallo! Welkom op LetMeTrackYou.org. Je bent hier waarschijnlijk gekomen omdat je meer informatie wilt over mijn onderzoek; het volgen van gebruikers aan de hand van hun 'vingerafdruk', oftewel de gegevens die de browser naar iedere website stuurt. Of je wilt weten waar dit allemaal over gaat. Ik moet je teleurstellen als je nog mee wilt doen aan het onderzoek: dat is inmiddels voorbij. In de maanden november en december heb ik veel mensen gevraagd om deze website te bezoeken. Aan de hand van de informatie die ze - zonder het te weten - meestuurden, heb ik geprobeerd ze te volgen. En dat is goed gelukt. Hieronder zal ik antwoord proberen te geven op al je vragen.
Dat is het maken van een vingerafdruk van je browser (in dit geval). Het is goed vergelijkbaar met de afdruk van je vingers: aan de hand van de informatie die jij al met je meedraagt, kan je geïdentificeerd worden zonder dat jij er iets speciaals voor doet. Maar ook zijn er foutieve 'matches' mogelijk; je kunt misschien per ongeluk worden geïdentificeerd als iemand anders.
Bovendien laat je vingerafdrukken overal achter, maar je bent je er niet van bewust. Het toetsenbord waar je nu achter zit, bijvoorbeeld, zit vol met jouw vingerafdrukken. Waarschijnlijk gaat niemand daar ooit iets mee doen, maar iemand die graag wil weten wie jij bent, heeft erg veel aan jouw toetsenbord.
Natuurlijk! Als jij op het internet surft, stuurt jouw browser zogenaamde HTTP-requests naar de server waar je website staat. Dit houdt zo ongeveer in dat je browser 'vraagt' om een website. In dit verzoek zit technische informatie, zoals je browsernaam en -versie, maar ook je taalvoorkeur en het besturingssysteem. Deze informatie kan worden gebruikt om de website aan te passen aan bijvoorbeeld een mobiel scherm omdat je een mobiele browser gebruikt. Echter, het is ook mogelijk om deze informatie in een database op te slaan en de volgende keer dat jij de site weer bezoekt, te vergelijken met de nieuwe gegevens. Komen deze overeen, dan ben jij dezelfde persoon.
Dat klopt, wat goed dat je dat opmerkt. Aan de HTTP-gegevens heb je in het algemeen niet genoeg, tenzij je een heel obscure browser gebruikt. Er zijn heel veel mensen die Firefox 6 gebruiken, dus aan de hand van die informatie zou ik heel veel personen dubbel identificeren.
Daarom is er meer data dat moet worden binnengehaald voor een unieke 'vingerafdruk'. Met behulp van Javascript, een taal die door alle browsers wordt begrepen, kan er nog meer informatie op worden gehaald. Je schermresolutie, je geïnstalleerde plugins en de tijdzone zijn enkele voorbeelden hiervan. Maar, met nog wat creatief gedoe is het ook mogelijk om de volledige lijst met geïnstalleerde lettertypes op te halen. Dus, als jij een exotisch lettertype op je computer hebt geïnstalleerd, ben je vrijwel altijd identificeerbaar.
Uit mijn onderzoek is naar voren gekomen dat 96% van de browsers een unieke vingerafdruk heeft. Nog eens 2% is uniek met precies één andere browser. Dat betekent dat ik 2% van de browsers niet kon onderscheiden van precies 1 andere browser.
Mijn onderzoek deed precies twee dingen: (1) ik plaatste een cookie op de computer van de gebruiker en (2) ik maakte een vingerafdruk van de gebruiker. Met de cookie - de traditionele en bewezen methode om mensen op het internet te volgen - kon ik kijken of een browser hetzelfde was. Vervolgens ging ik kijken of de vingerafdruk van alle verschillende browsers (zoals de cookie bepaalde) overeen kwam. Dat betekent dus dat ik mensen die hun cookie in de tussentijd verwijderden, dubbel heb geteld. Dat betekent dat de 96% in de vorige vraag waarschijnlijk hoger is.
Ja, dat is zo. Om die reden heb ik een aantal aannames gemaakt. Zo heb ik aangenomen dat - voor mijn algoritme - de browserversie bijvoorbeeld wel hoger mag worden, maar niet lager. Als iemand een browserversie 5.0 heeft, dan zal dit niet opeens 4.0.0 worden, maar waarschijnlijker 5.5 of zelfs 6.0. Een vergelijkbare aanname heb ik gedaan voor geïnstalleerde lettertypes: het is niet waarschijnlijk dat je een lettertype verwijdert als je deze eenmaal hebt geïnstalleerd. Mijn algoritme staat toe dat er meer specifieke en betere aannames gedaan kunnen worden, maar voor mijn onderzoek volstond de huidige regelset.
Voor 87% van de browsers werkte mijn algoritme; ik kon dus 87% van de bezoekers opnieuw identificeren, ook nadat ze hun browserversie hadden veranderd. Ik heb 5% niet opnieuw kunnen identificeren, maar dit is een tekortkoming van mijn algoritme. Het algoritme kan aan worden gepast zodat dit percentage lager wordt. Bovendien moet worden bedacht dat mijn onderzoek ook aanmoedigde tot het actief wijzigen van browsereigenschappen. In mijn onderzoek werd bovendien 8% ten onrechte geïdentificeerd. Dat houdt in dat ik iemand voor iemand anders aanzag. Dit kan worden verklaard onder andere doordat men mijn cookie kon verwijderen om als 'nieuw' te worden beschouwd. Naar verwachting betreft dat ongeveer de helft van de ten onrechte geïdentificeerde gebruikers.
Ja, en dat is ook wel gebleken. Telefoons hebben vaak dezelfde browser, lettertypes en plugins geïnstalleerd, wat het moeilijk maakt om browsers uniek te identificeren.
'Gelukkig' stuurt bijvoorbeeld Vodafone de X-VF-ACR-header mee, een header die unieke (anonieme) klantenherkenning verzorgt. Deze klantenherkenning maakt het voor partners van Vodafone mogelijk om klanten uniek te herkennen, ook nadat van cookies, een browser of een toestel is ontdaan (dus een heel erg persistente cookie). 'Helaas' is de interface die hiervoor nodig is, niet voor derden beschikbaar.
Ook KPN stuurt identificerende informatie mee, zoals de 'brand' (bijvoorbeeld Hi) waarmee wordt gesurft. Ook het interne adres van het toestel wordt meegestuurd.
Hoewel dit dus allemaal niet direct leidt tot een specifiek persoon, vergroot het wel de vingerafdruk van deze persoon, wat hem beter herkenbaar maakt.
De Tweede Kamer is bezig met een wet die het gebruik van cookies zou moeten verbieden. Dit betekent dat cookies voor de doeleinden waarvoor ze nu vaak gebruikt worden, niet meer gebruikt kunnen worden.
Bovendien zijn cookies eenvoudig op te sporen. Als een website een cookie gebruikt, plaatst deze een klein stukje informatie op jouw computer, vaak een unieke identificerende tekst. Iedere keer dat je dezelfde website weer bezoekt, stuurt je browser dit stukje informatie mee. Maar, je kunt in je browser zelf heel eenvoudig zien welke websites cookies op jouw computer hebben geplaatst, waardoor later te bewijzen is dat je 'getroffen' bent.
Daarnaast zijn cookies heel eenvoudig te verwijderen, terwijl je aan je vingerafdruk weinig kunt doen. Die heb je sowieso, laten we maar zeggen.
Om de simpele reden dat online winkels en advertentiebedrijven heel graag een profiel van jou op willen bouwen. Het is heel handig om te weten wie wat koopt en wat ze op het internet doen, omdat dan gerichte advertenties mogelijk zijn.
Waarschijnlijk niet, maar het zou je wel uit moeten maken. Het opbouwen van een profiel kan voordelig zijn, omdat je dan geen advertenties meer krijgt over wat je toch niet wilt kopen, maar het gevaar is dat het profiel ook voor andere zaken wordt gebruikt. Zo kan er een verkeerd beeld van je worden geschetst of kan de informatie worden gebruikt voor identiteitsdiefstal.
Ik kan dat veel minder goed uitleggen dan de mensen die het filmpje Privacy Matters hebben gemaakt.
Bar weinig. Uit het onderzoek is gebleken dat de privacy-modi van browsers absoluut niet werken tegen deze vorm van privacyschending. Met de Tor Browser ben je nog het beste af, maar als gebruiker van die browser ben je wel identificeerbaar als gebruiker van die browser. Dat klinkt niet zo erg, maar in sommige landen is het al strafbaar om dit soort methodne te gebruiken. En als je de enige bent die die browser gebruikt (op je kantoor of in het algemeen), dan ben je paradoxaal genoeg ook identificeerbaar.
Weet dat je niet privé bent op het internet. Houd daar rekening mee en gebruik je recht op privacy verstandig.
Deze pagina was in vogelvlucht wat ik heb onderzocht. In mijn paper vind je veel meer informatie over hoe het onderzoek uit is gevoerd en wat er nog meer aan is getroffen. Hieronder staat een lijstje met interessante links.
Dit onderwerp is op 11 februari ook uitgebreid behandeld in het VARA-programma 'Kassa'. Je kunt deze uitzending terugkijken op hun website.
Enige tijd geleden heb ik ook (in het Engels) geblogd over privacy. Hierin staan meer bronnen en interessante links voor als je geïnteresseerd bent in je eigen privacy.
Bij mijn onderzoek heb ik meer informatie aangetroffen dan alleen de vingerafdruk. Ik heb ook gezien waar mensen naar zochten in de maand december. De slide geeft heel duidelijk de tijdsgeest aan.
Dat kan kloppen! Een klein deel van mijn onderzoek, het gedeelte dat Vodafone de internetrequests aanpast, is in de media terechtgekomen. Hieronder een kort overzicht van de nieuwsberichten (waarin ik heb geprobeerd de alleen de originele artikelen op te nemen; een volledig overzicht kun je vinden met Google).
Er zijn in de Eerste Kamer op 1 februari vragen gesteld over de praktijk van 'browser fingerprinting' (met dezelfde statistiek als uit mijn onderzoek is gebleken - toeval?). Hierop komt binnenkort antwoord.
januari/februari 2012
