Browser fingerprinting: gevolgd worden zonder cookies
Peter Kulche Expert ElektronicaBijgewerkt op:1 september 2022
Wat is fingerprinting?
Fingerprinting is een techniek die gebruikmaakt van een simpel gegeven. Computers verschillen altijd van elkaar. Denk aan verschillen in besturingssysteem, browserversie, schermresolutie en nog veel meer gegevens.
Die combinatie van apparaatgegevens levert een unieke vingerafdruk op waar een bezoeker aan te herkennen is. Die vingerafdruk wordt gebruikt om fraude of misbruik van de website te voorkomen. Maar ook om gericht te adverteren.
34% van de sites past techniek toe
In januari 2022 deden we een steekproef met 100 populaire websites. We zien dat 34% daarvan een ‘vingerafdruk’ maakt van de browser van de bezoeker. Dat is veel meer dan de 12% in onze steekproef in 2018. Wij gebruikten de Chrome-extensie ‘CanvasFingerprintBlock’ als verklikker (inmiddels niet meer beschikbaar in de Chrome Web Store).
De meeste websites hebben de vingerafdruk al genomen voordat je er via het ‘cookie-OK’-menu mee hebt kunnen in stemmen. En ze doen het ook als je surft in de ‘privacy-modus’ van je browser.
Fingerprinting is een behoorlijk privacyschendende techniek. Het levert ongevraagd een ‘kenteken’ op dat kan worden gebruikt om je internetgedrag te volgen.
Wat is het doel van fingerprinting?
We hebben alle 34 fingerprintende sites aangeschreven. Slechts 17 reageerden. Ze melden dat ze de techniek gebruiken voor fraudebestrijding: ze koppelen de kenmerken van je computersysteem aan je gebruikersaccount. Zodat je account niet (zomaar) vanaf een vreemde computer kan worden gebruikt.
Sommige sites melden dat ze fingerprinting gebruiken om het grootschalig kopiëren van de site tegen te gaan. Of om een denial of service-aanval te herkennen en af te weren.
Geen reactie
Van de helft van de sites krijgen we geen reactie. Terwijl we weten dat fingerprinting ook gebruikt kan worden voor het volgen van gebruikers voor persoonlijke reclame.
Opvallend
Opvallend is dat de site van de privacyvriendelijke berichten-app Signal een vingerafdruk van de browser maakt. Zonder enige toelichting. En zonder instemming.
We hebben geen reactie van Signal gekregen op ons verzoek om een toelichting. De vingerafdruk wordt alleen gemaakt op de donatiepagina. De fingerprinting heeft dus waarschijnlijk te maken met de beveiliging van deze financiële transactie. Maar dat weten we niet zeker.
Mag dit eigenlijk wel?
Volgens de Telecom- en privacywet (AVG) mag een website in beginsel alleen fingerprinten als de consument ermee instemt. Alleen ing.nl, nu.nl en telegraaf.nl wachten met hun vingerafdruk totdat je akkoord geeft voor de cookies en andere technieken voor tracking. De anderen doen het zonder enige vorm van instemming.
Geen veiligheidsargument
Mogelijk hebben de banken een speciale status waardoor ze het zonder toestemming mogen. Ze zijn volgens antifraudewetgeving namelijk verplicht om hun site extra goed te beveiligen. Maar bij abnamro.nl, ing.nl en rabobank.nl zien wij de fingerprinting ook op de homepage. Niet alleen bij het inloggen. Daar is geen veiligheidsargument voor.
Een flink deel van de fingerprintende websites is dus mogelijk in overtreding: ze gebruiken de techniek zonder een goede juridische ‘grondslag’. We hebben onze bevindingen met de Autoriteit Persoonsgegevens gedeeld. Die kan eventueel een onderzoek instellen.
Wat kun je er tegen doen?
Gelukkig heel wat, met de juiste software:
- Browser Mozilla Firefox (voor de pc, Mac en je telefoon of tablet) heeft ingebouwde bescherming tegen fingerprinting.
- Ook Apple-browser Safari (op iPhone, iPad, Mac) beschermt je er in principe tegen.
- Google Chrome beschermt je niet. Maar je kunt wel de extensie Canvas Fingerprint Defender installeren om bescherming toe te voegen.
Fingerprinter varianten
Bij passieve fingerprinting gebruikt de website de eigenschappen die je browser automatisch doorgeeft als je de website bezoekt. Bijvoorbeeld de schermresolutie, versie van de browser en het besturingssysteem. Deze fingerprinting is lastig te detecteren. Maar browsers Firefox en Safari beschermen je er wel tegen, doordat ze weinig informatie delen met de site.
Actieve fingerprinting is makkelijker waar te nemen. De website unieke kenmerken uit de browser probeert te halen. Onze steekproef wijst uit dat canvas fingerprinting een populaire vorm is. De site draait een scriptje dat je browser de opdracht geeft om een onzichtbare tekening maken. Omdat iedere browser die tekening op een net iets andere manier maakt, ben je hier vaak aan te herkennen. In onze steekproef met de 100 websites checkten wij of de canvas fingerprinting techniek werd toegepast.
Nieuw & interessant
- 13 aug.
Let op bij ‘advertentieprivacy’ in Chrome
In Google Chrome krijg je de vraag of je de functie ‘advertentieprivacy’ wilt inschakelen. We zijn nog niet enthousiast. ‘Nee’ is op dit moment beter voor je privacy dan ‘Ja’. - Nieuws | 30 jul.
Stichting Take Back Your Privacy in hoger beroep in TikTok-zaak
Op 30 juli 2024 heeft Stichting Take Back Your Privacy – ondersteund door de Consumentenbond – bij het Gerechtshof Amsterdam toegelicht waarom zij hoger beroep heeft ingesteld in de TikTok-zaak. - 7 mrt.
Nieuwe wet geeft internetgebruikers meer keuzevrijheid
Vanaf 7 maart moeten de grootste techbedrijven zich houden aan Digital Markets Act (DMA). De EU-verordening moet de marktmacht van de grootste techbedrijven inperken en zorgen dat internetgebruikers meer keuzevrijheid krijgen. - 7 mrt.
Nieuwe regels moeten online platforms veiliger maken
Onlineplatforms moeten beter omgaan met jouw meldingen over illegale zaken op het platform. Zij moeten vanaf nu voldoen aan de Digital Services Act (DSA).