Wat bedoel je met supercookie?
Vodafone/KPN/T-Mobile voeren MITM(Man in the middle) aanvallen uit op http verbindingen. Ze injecteren een zogenaamde X-ASID header in je pagina verzoeken. Dit bevat informatie over je provider en een unieke string informatie die altijd hetzelfde blijft (zolang je dit Vodafone/KPN/T-Mobile abo hebt). Een soort super-cookie die niet te verwijderen is!!!
ASID staat voor "Anonieme subscriber ID". In normale taal: je kunt die ASID-code zien als ware het dat Vodafone jouw webbrowser voorziet van een kentekenplaat. Een unieke code, gekoppeld aan jouw mobiel. Elke website die je dan met je mobiel bezoekt kan die kentekenplaat zien, en opslaan. Het is hiermee mogelijk dat websites jouw acties op de website, en hoevaak je de website bezoekt, exact kunnen volgen ook al verwijder jij je cookies.
Waarom die ASID-code?
Voor aanbieders op internet is het handig. Omdat de code uniek is, en door de telco's aan jouw sim-kaart gekoppeld is, is deze betrekkelijk veilig. Dankzij deze ASID-code kun je online makkelijk muziek, ringtones, filmpjes etc aanschaffen, zonder dat je telkens een complexe en vervelende aanmeld- en betaalprocedure hoeft te doorlopen. Je maakt jezelf eenmaal kenbaar op de site in kwestie, geeft je betaalgegevens op, en vervolgens kun je met simpelweg een klik op "ok" elke aanschaf op de website bevestigen. De ASID-code is hiermee een soort van klantenkaart geworden.
Hoe wijdverspreid is de ASID-code?
In de eerste alinea had ik het over Vodafone. Deze telecommaatschappij stuurt de ASID-code mee naar alle websites die je met je mobiel bezoekt, zo is bevestigd door Vodafone. Volgens het ASID Cookbook sturen de netwerken KPN, Hi en T-Mobile de ASID-code alleen naar websites die zich hebben aangemeld voor de dienst. Welke websites dat zijn is onbekend. Andere netwerken (Telfort en Orange worden genoemd) sturen de ASID-code niet naar websites.
Bron: http://randysimons.nl/113,overige/146,mobiele-privacy/
Hieronder een quote van het artikel: https://www.security.nl/p...+stuurt+anonieme+code+mee
Hier is ook te zien dat vodafone je internetverkeer bespioneerd zodat ze je kunnen spammen met reclame.
Vodafone/KPN/T-Mobile voeren MITM(Man in the middle) aanvallen uit op http verbindingen. Ze injecteren een zogenaamde X-ASID header in je pagina verzoeken. Dit bevat informatie over je provider en een unieke string informatie die altijd hetzelfde blijft (zolang je dit Vodafone/KPN/T-Mobile abo hebt). Een soort super-cookie die niet te verwijderen is!!!
ASID staat voor "Anonieme subscriber ID". In normale taal: je kunt die ASID-code zien als ware het dat Vodafone jouw webbrowser voorziet van een kentekenplaat. Een unieke code, gekoppeld aan jouw mobiel. Elke website die je dan met je mobiel bezoekt kan die kentekenplaat zien, en opslaan. Het is hiermee mogelijk dat websites jouw acties op de website, en hoevaak je de website bezoekt, exact kunnen volgen ook al verwijder jij je cookies.
Waarom die ASID-code?
Voor aanbieders op internet is het handig. Omdat de code uniek is, en door de telco's aan jouw sim-kaart gekoppeld is, is deze betrekkelijk veilig. Dankzij deze ASID-code kun je online makkelijk muziek, ringtones, filmpjes etc aanschaffen, zonder dat je telkens een complexe en vervelende aanmeld- en betaalprocedure hoeft te doorlopen. Je maakt jezelf eenmaal kenbaar op de site in kwestie, geeft je betaalgegevens op, en vervolgens kun je met simpelweg een klik op "ok" elke aanschaf op de website bevestigen. De ASID-code is hiermee een soort van klantenkaart geworden.
Hoe wijdverspreid is de ASID-code?
In de eerste alinea had ik het over Vodafone. Deze telecommaatschappij stuurt de ASID-code mee naar alle websites die je met je mobiel bezoekt, zo is bevestigd door Vodafone. Volgens het ASID Cookbook sturen de netwerken KPN, Hi en T-Mobile de ASID-code alleen naar websites die zich hebben aangemeld voor de dienst. Welke websites dat zijn is onbekend. Andere netwerken (Telfort en Orange worden genoemd) sturen de ASID-code niet naar websites.
Bron: http://randysimons.nl/113,overige/146,mobiele-privacy/
Hieronder een quote van het artikel: https://www.security.nl/p...+stuurt+anonieme+code+mee
Hieronder quotes van reacties op het artikel: https://www.security.nl/p...+stuurt+anonieme+code+meeDe X-Asid header valt juridisch gezien onder een "nummer ter identificatie van personen". En daarvoor gelden strengere regels dan 'gewone' verwerkingen van persoonlijke gegevens. Zo'n verwerking moet worden aangemeld bij het CBP, en bovendien (artikel 31 Wbp) moet het CBP dan een voorafgaand onderzoek instellen. Is zo'n onderzoek ingesteld? Geen idee. Het enige wat ik kan vinden, is dit zinnetje in Vodafone's privacyverklaring zoals gemeld bij het CBP: Het verstrekken van gegevens aan derden c.q. verwerken van gegevens van derden, voor commerciëlen charitatieve en ideële doelen
Ik denk niet dat dit het gebruik van de X-ASID header afdekt. Het lijkt me dan ook dat het CBP hiertegen zou moeten optreden. Alleen, die kunnen pas iets als er voldoende mensen een klacht hebben ingediend. Ga daarom naar Uw klacht en het CBP en doorloop het stappenplan. Belangrijkste is dat je geklaagd hebt bij de provider.
Hier is ook te zien dat vodafone je internetverkeer bespioneerd zodat ze je kunnen spammen met reclame.
Mooi punt, ik was me hier helemaal niet bewust van maar uiteindelijk blijkt ook mijn toetstel z'on vieze TAG mee te sturen in de Header.
Vervolgens heb ik in het register van het CPB gezocht of de verwerking van die gegeven uberhaupt wel is aangemeld (aanmelding wil dus niet zeggen dat het getoetst en goed gekeurd is). Ook dit blijkt niet het geval (zover als ik heb kunnen zien) Vodafone heeft maar drie processen aangemeld bij het CPB, dat lijkt me wel erg weinig voor een dergelijk instantie.
als mensen zelf willen zoeken naar aangemelde processen die persoonsgegevens verwerken kunnen ze hier terecht:
http://www.cbpweb.nl/asp/ORSearch.asp
en hier een overzicht van de aangemelde processen (Let op, deze zijn niet getoetst en hoeven dus ook niet goedgekeurd te zijn):
http://www.cbpweb.nl/asp/...8&refer=true&theme=purple
http://www.cbpweb.nl/asp/...4&refer=true&theme=purple
http://www.cbpweb.nl/asp/...f&refer=true&theme=purple
Nu ik hiervan op de hoogte ben, zie ik ook een koppeling tussen mijn surfgedrag en de scheit irritante reclame SMS'jes van vodafone ....
Het komt er dus op neer dat bepaalde mobiele providers er privacy-schendende praktijken op nahouden. Wat vinden jullie hiervan en wat kunnen we doen om dit te stoppen of dat het in iedergeval uit te schakelen is?ff serieus ... ben je aan het zoeken geweest naar een reisbureau op het internet, krijg je 2 min later een smsje van Vodafone. Dat ik goedkoop kan bellen in het buitenland.... toch wel toevallig heh ?
[ Voor 4% gewijzigd door RoD op 09-10-2014 11:30 ]
/u/189240/av70.png?f=community)
:strip_icc():strip_exif()/u/11256/door-small.jpg?f=community)
:strip_icc():strip_exif()/u/123426/anti-ipod-.jpg?f=community)
/u/25594/teef.png?f=community)
:strip_icc():strip_exif()/u/290132/avatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/154021/razr-icon.jpg?f=community){kind=icon}