Journalisten kopen surfgegevens van drie miljoen Duitsers en plakken er een gezicht op

Journalisten van de Duitse zender NDR tonen hoe makkelijk het is om de browsegegevens van drie miljoen Duitsers in handen te krijgen en wat je daar allemaal kan uit afleiden.

Bedrijven die add-ons voor Chrome, Firefox en co aanbieden, verzamelen via die extensies een heleboel persoonlijke data. Die worden daarna gewoon doorverkocht. Journalisten van Panorama gingen op onderzoek hoe dat precies in zijn werk gaat. Ze ontdekten onder meer hoe makkelijk het is om toegang te krijgen tot de browse geschiedenis van zo’n drie miljoen Duitse internetgebruikers. Meer dan een nepbedrijfje hadden ze daarvoor niet nodig.

In de reportage vermelden de journalisten enkel de extensie Web of Trust (WoT), maar ze vertellen er wel bij dat dit bijlange niet de enige is die dit soort praktijken hanteert. Heel wat add-ons kunnen sowieso het surfgedrag van een internetgebruiker tot in de details achterhalen. Web of Trust bijvoorbeeld profileert zich als een extensie voor “safe web search & browsing”. In ruil vraagt het wel toegang tot elke website die een surfer bezoekt. Die data worden dan doorverkocht een derde partijen die de data vervolgens verder kunnen doorverkopen. Het gaat in het geval van Web of Trust om informatie over datum en tijdstip waarop een specifieke website werd bezocht, de locatie van de surfer en het gebruikers ID.

Panorama kocht van “data brokers” de gegevens van meer dan tien miljard webadressen van Duitse internetgebruikers. Uit analyse bleek dat die data alles behalve anoniem waren. Dat geldt bijvoorbeeld voor websites als PayPal (e-mail adressen), Skype (gebruikersnamen) of de on de online check-ins van luchtvaartmaatschappijen. Zo slaagden de onderzoekers erin om verschillende gebruikers te identificeren. Met soms verstrekkende gevolgen, zoals de seksuele voorkeur van een rechter, gevoelige informatie over politie-onderzoeken of zoekopdrachten naar drugs, prostituees of ziekten.

Web of Trust beweert op haar website nochtans dat data steeds geanonimiseerd worden voordat ze doorverkocht worden. Met hun reportage tonen de journalisten nogmaals aan dat dit slechts loze beloftes zijn. Dit soort gegevens kan je met weinig moeite de-anonimiseren, waarna ze wel degelijk herleidbaar zijn tot personen van vlees en bloed.

[Update] Na de uitzending hebben eerst Mozilla en daarna ook Google en Opera besloten om add-on Web of Trust (WOT) uit de officiële stores te verwijderen.

[Update 2] Web of Trust kondigt aan dat ze maatregelen zullen nemen, nadat de ontwikkelaars zelf moesten toegeven dat de zogezegd anoniem gemaakte data eenvoudig naar gebruikers te herleiden zijn. Vraag is dat voor de ontwikkelaar niet too little too late is. Een “Web of Trust” dat zo slordig omspringt met de data van haar gebruikers, is en blijft een foute boel. Zeker als de ontwikkelaar nergens echt wil toegeven dat ze een fout gemaakt hebben.