Virksomheder gemmer 'spy pixels' i mails for at tracke modtageren

Altså en 1x1 pixel image. Det er da guf for et spam filter. Der må være utroligt få som bruger en så simpel teknik, siden det ikke er standard af fange disse.

Men seriøse trackere bruger selvfølgelig forskellige URL'er til det samme indhold. Men det kan også detekteres hvis blot man modtager to mails fra samme spion firma.

... så er der et plugin der fjerner det meste:

https://apparition47.github.io/MailTrackerBlocker/

Har da prøvet at sende signalet for en del år siden: Vi har længe løst problemet!

https://nakedsecurity.sophos.com/2013/12/16/gmail-takes-image-loading-out-of-users-hands-heres-how-to-take-it-back/

• Om de så sælger data videre fra deres proxy; må guderne (og evt. hackere) jo vide.

IRL er det meget fint, hvis ekspedienten står tydeligt frem, og tager imod folk.

Der er også en verden til forskel på at blive genkendt af et andet menneske; det har vi helt grundlæggende brug for - og så at blive iagttaget og (for-)fulgt af systemerne.

Hvis jeg går ind i butik, så kan jeg også se ekspedienterne i øjnene, så det er et bevidst valg fra min side med en naturlig gensidigt. Og det er begrænset til mit besøg. Han ved ikke af den grund se, hvor jeg bor eller om jeg læser mails om natten eller hvilken smartphone jeg har. Han kan heller ikke se, om jeg er på arbejde, hjemme eller hos elskerinden. Han må også gerne vide, når jeg kommer i hans butik, men hvis jeg synes at han har brug for at vide, om jeg har læst hans reklamer, så skal jeg nok selv fortælle ham det.

Ligeledes kan han heller ikke følge med i, hvem jeg i øvrigt måtte tale med, hvilket ellers nemt bliver tilfældet, hvis jeg sender gode tips og andre breve videre til andre. Hvis jeg ønsker at mine venner skal introduceres for ekspedienten, så skal jeg nok bede dem om at hilse, eller gå med derind første gang. Og ellers så rager det rent ud sagt ikke ham.

...og lad os lige vende den om: hvis der havde stået et fint lille billede med et venligt grønt flueben og teksten "vi har set, at du har læst din mail", så ville det være åbent og ærligt. Men det skjuler sig "bag gardinet", sikkert velvidende, at vi ikke ville bryde os om at kende sandheden, som Facebook o.a. er trætte af, at Apple nu vil fortælle om hvad de gør. Og skjuler man det som man gør, fordi man ved at andre ikke vil bryde sig om det, så er det ikke bare uærligt ... det er også klamt!

Så lad nu være med at bagatellisere det på vegne af os andre. Vi er nogen, som foretrækker at man er ærlige og åbne om, hvad man gør, og som passer på os selv og vores venner.

IRL så kan en dygtig ekspedient også genkende en tilbagevendende kunde i butikken, så lad os ikke opdigte et unødvendigt drama her.

IRL er det meget fint, hvis ekspedienten står tydeligt frem, og tager imod folk.

Hvis han skjuler sig bag et gardin, eller et kamera, uden at give sig tilkende, er det klamt.

Det samme gør sig gældende når man forsøger at gemme overvågningen bag en skjult pixel.

så modtog jeg for nyligt en mail fra Arriva.dk om at jeg ikke havde læst deres mails i længere tid og derfor ville blive afmeldt deres mailingliste.

He, modtog også sådan en tilsvarende fra Vega (koncertstedet) for nogle år siden. Jeg har i min mailklient (gmail) default slået visning af eksterne billeder fra.

Dengang kunne man godt læse koncert-nyheder i plain text visning, selvom det ikke var specielt kønt. Men sidenhen har Vega lavet deres mail-format om så man er nødt til at have visning af billeder slået til for at kunne læse mails. Når jeg tænker over det, har jeg ikke været til koncert i Vega siden (og det var længe før Corona også blev et issue). Jeg nægter at slå billedvisning til i mine modtagne emals, og får ikke besøgt deres website i stedet.

To tredjedele af mails, som sendes til private Hey-mailadresser indeholder ‘spy pixels’, som virksomheder bruger til at tracke modtageren.

Billeder, der ikke er embedded i en mail, skal hentes fra en ekstern server, og uanset om det er 1x1 pixels eller et reelt billede, så kan fornuftige mailklienter indstilles til at altid at spørge, om billederne i nærværende mail skal hentes. Det kan anbefales.

Det er også blevet mere gængs, at mailservere pre-loader den slags billeder, og det betyder i praksis, at afsenderen faktisk ikke ved, om mailen er åbnet (dvs. at billederne er hentet i mailklienten) eller om det var en mailserver der pre-fetchede eller scannede for malware.

Hertil kommer at man selvfølgelig ikke kan udlede om modtageren har læst beskeden, uanset de billeder er hentet.

Det hører også med til historien, at alle links i en sådan mail, typisk også lades med tracking koder, som f.eks. UTM Personhenførbar identifikation kan gemme sig i subdomæne, domæne, URL, URL parametre eller fragmenter.

Så uha uha! ...når nogen klikker på et link i en mail, så kan afsenderen se hvem der har klikket. Men altså, ...hvis man responderer på en mail, så kan modtageren også se hvem der har svaret.

Det er masser af fin og ufarlig nytte i at kunne tracke konvertering af mailudsendelser, og da det ikke er realistisk at se en ny standard for mail-content i nærmeste fremtid, så tror jeg at den almindelige hygiejne i indboxen, hvor irrelevante mails fyres ulæst til junk-folderen klarer sagen for nu. Tit er det et klik på "j" i klienten.

Og endelig, så kræver det et forudgående samtykke fra modtageren at være tilmeldt et register, som f.eks. en nyhedsbrevs-mailingliste.

IRL så kan en dygtig ekspedient også genkende en tilbagevendende kunde i butikken, så lad os ikke opdigte et unødvendigt drama her.

Som jeg skrev med DHH den anden dag på Twitter (lidt spøjst at hans tweets skal komme via BBC til Version2), så modtog jeg for nyligt en mail fra Arriva.dk om at jeg ikke havde læst deres mails i længere tid og derfor ville blive afmeldt deres mailingliste.

Nu havde jeg faktisk læst, eller i hvert fald åbnet og skimmet de fleste mails fra firmaet, men min opsætning i Apple Mail forhindrer at den slags privatlivsinvasion sker automatisk.

Det er vist første gang at jeg har oplevet at nogen har brugt spionbilleder til at afmelde mig fra en mailingliste, og selvom det var i god mening, er det vildt grænseoverskridende - og tilmed forkert, så jeg afmeldte mig på stedet, selvom der til tider har været nyttig information at læse.

Det er en normal indstilling i flere mailprogrammer at man kan slå hentning af eksterne filer fra, og bør være barnelærdom at den slags skal slås fra, hvis man bekymrer sig om at nogen snager i ens mail-læsning. Hey håndterer det vist rigtigt godt, men er ikke ene om det. Den vinkel burde nok også med i artiklen.

Det er bestemt ikke nyt, men formentlig ulovligt uden forudgående samtykke fra brugerne.

Det er da blevet brugt i mange mange mange år.

Og hvor mange (andre) bruger alle deres eksterne billeder til tracking i stedet for?

Trackingen kan jo både foregå med spy-pixels og alt andet indhold som ikke følger med i selve mailen, og derfor hentes ved åbning af mailen, hvis ikke brugerens klient blokerer for det.

/Henning