Europæiske teleudbydere skyder også tracking headers ind i mobile dataforbindelser

Ikke alene i USA, men også i Europa bliver der fiflet med HTTP-headere i form af såkaldte tracking headers, når borgere går på nettet fra mobilen.

Sidste år kom det frem, at de amerikanske teleudbydere Verizon Wireless og AT&T føjede data til HTTP-headere, så kunder kunne spores, uden at det kunne forhindres. Teknikken blev beskrevet som supercookies, fordi det umiddelbart ikke var muligt for brugeren at undgå eller opdage den form for sporing.

Nu viser det sig, at mobilkunder i flere andre lande, herunder i Europa, også får sat ekstra header-data ind fra deres teleudbydere, så brugernes færden rundt om på nettet kan spores.

Det fremgår af en rapport fra firmaet Access kaldet: The Rise of Mobile Tracking Headers: How Telcos Around the World Are Threatening Your Privacy (PDF)

Sporing via tracking headers, som Access kalder metoden, foregår ved, at en teleudbyder skyder ekstra data ind i dataforbindelsen, når en bruger går på nettet. Det er umiddelbart usynligt for brugeren, men ikke for udbyderen, der kan bruge de unikke data til at spore brugerens færden rundt på nettet. Altså på samme måde som tracking cookies. Det kan være værdifuld information i markedsførings- og overvågningssammenhæng.

En illustration fra Access' rapport, der viser, hvordan tracking-teknologien via HTTP-header fungerer

Access har undersøgt brugen af tracking headers rundt om i verden i kølvandet på sagerne med Verizon Wireless og AT&T. Undersøgelsen er gennemført via et online-værktøj, Access har udviklet, som ligger på adressen Amibeingtracked.com

Når en bruger tilgår sitet via en mobildataforbindelse - wifi skal være slået fra - kommer der et bud på, hvorvidt ens udbyder indsætter tracking headers i dataforbindelsen, der kan bruges til sporing. Det er på baggrund af disse brugergenererede data, Access har lavet rapporten.

Holland i front

Af rapporten fremgår det, at der indgår data fra 164 lande i en periode på seks måneder startende i oktober 2014. Der er tale om 180.000 resultater, hvoraf 93.941 har været entydige. Det vil sige, at værktøjet præcist har kunnet identificere typen af forbindelse (3G eller 4G) og udbyderen. De øvrige resultater har været usikre, enten fordi brugere har tilgået sitet via eksempelvis wifi, eller fordi den pågældende udbyder ikke har kunnet identificeres.

Ud af de 93.941 resultater bliver der i 26.726 tilfælde brugt tracking headers. Det svarer til 15,3 pct.

Målt på antal ligger USA på en klar førsteplads med 23.123, der bliver tracket. På andenpladsen ligger Spanien med 3.344 målte tracking headers. Og på tredjepladsen ligger Holland med 125 tracking headers. Længere nede på listen optræder Canada, Peru, Indien og Kina.

Selvom det hollandske tal kan forekomme lavt, så ligger Holland faktisk i toppen, målt på hvor stor en andel af de hollandske måleresultater (de entydige plus de usikre), der indeholder tracking headers.

Fordelt på hvilke udbydere, der sætter tracking headers, så ligger amerikanske Verizon i toppen med 18.868 headere. Nummer to er ligeledes amerikanske AT&T med 5.703 headere. På tredjepladsen ligger spanske Telefonica de España med 3.335 tracking headere. Hollandske Vodafone NL ligger på en fjerdeplads med 130 headere til sporing.

Trods fjerdepladsen er Vodafone NL det selskab, der sætter flest tracking headere i forhold til antal forespørgsler op mod Amibeingtracked.com.

Ekspert: Omgår nok EU-lovgivning

Stifter af konsulentfirmaet eID Consult Peter Lind Damkjær arbejder professionelt med rådgivning i forhold til privacy. Han hæfter sig ved, at tracking headers ikke umiddelbart er omfattet af det, der populært kaldes cookie-bekendtgørelsen. Den udspringer af EU's e-databeskyttelsesdirektiv, der har foranlediget de mange pop-up-bokse på europæiske hjemmesider, hvor borgere bliver oplyst om, at der bruges cookies.

»Selvom de skriver, at den er teknologineutral, så er den ikke mere teknologineutral, end at det her ikke er omfattet, selvom det helt tidligt var noget af det, der var formålet med e-direktivet. Og det synes jeg er problematisk. Der er teknologier, der tydeligvis skulle være omfattet, men ikke er det.«

Direktivet omfatter ikke kun cookies. Som Version2 tidligere har kunnet fortælle, er eksempelvis MAC-adresser omfattet af EU-direktivet. Det vil sige en hardware-adresse, der er knyttet til netværk-interfacet på en computer eller en mobiltelefon.

Læs også: Nytolkning af cookie-direktiv er bombe under dansk succesforretning med trafikovervågning

Men Peter Lind Damkjær mener altså ikke, at tracking headers er omfattet af lovgivningen, fordi oplysninger - modsat MAC-adressen og cookies - ikke bliver læst i brugerens terminaludstyr. Altså eksempelvis en computer eller en mobiltelefon.

»I cookie-direktivet lægger man meget vægt på, om der bliver gemt noget på computeren eller ej. Jeg synes mere, man skulle lægge vægt på, om man tracker eller ej. Og det her er jo et strålende eksempel på, at man kan lave tracking, som ikke er omfattet af cookie-direktivet, fordi der hverken bliver læst eller skrevet noget til brugerens terminal,« siger han.

Ikke SSL-forbindelser

Selvom brugen af tracking headers foregår fra teleudbyderens side, så kan brugeren alligevel gøre lidt for at undgå det. Teknologien fungerer nemlig ikke, når der er tale om SSL-krypterede forbindelser. Altså HTTPS.

»Teknologien går ud på, at teleudbyderen sætter en header, når brugeren laver en HTTP-request. I det øjeblik, du sender en HTTP-request til en server, så bliver der sat en ekstra HTTP-header på i teleudbyderens gateway. Og hvis du laver SSL, så bliver der pakket et lag uden om HTTP'en, så der kan ikke kan sættes ekstra HTTP-headere på. Headerne ligger krypteret ind i SSL'en,« siger Peter Lind Damkjær.

Version2 har lavet en lille test på en mobil data-forbindelse der går via henholdsvis 3, TDC og Telias netværk, og her lader der ikke umiddelbart til at blive anvendt tracking headers jf. oplysningerne fra Amibeingtracked.com Flere danske operatører har tidligere gjort sig bemærket i forhold til HTTP-headere, da det kom frem, at kunders mobilnumre blev sendt til udvalgte internetdomæner. Den praksis er nu stoppet.

Læs også: Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (8)

Kommentarer (8)
Søren Weber

Der er stadig mange sider, der ikke bruger HTTPS-forbindelser, men så kan man bruge VPN i stedet. Jeg bruger selv udbyderen PIA, som jeg varmt kan anbefale sammen med programmet OpenVPN, der findes til PC/Android/iOS.

Peter Jølving

Der er da ikke nogen væsentlig forskel på hvordan man sporer via MAC-adresser og hvordan udbyderen genkender en bruger via IMEI- eller IMSI-nummeret, som de så omsætter til headers.

Udfra den betragtning må det da være lige så ulovligt.

René V. Nielsen

Helt enig! Altid VPN på mobilos og PC

Jeg bruger nu VPN Express fordi at den er schweizisk baseret.

Kort fortalt så skal de schweizisk baserede VPN udbydere ikke gemme logs over deres brugeres aktiviteter VPN aktiviteter, modsat f.eks. Danmark! Og så nærer jeg ikke samme tillid til de US/UK baserede udbydere.

Derudover er det tilladt med f.eks. Popcorntime til privat formål og for et par år siden fik det som svarer til Rettighedsalliancen i Schweiz en næsetyv af en anden verden i den schweiziske højesteret fordi de ulovligt havde indsamlet IP adresser.

Martin Warming

@ Rene V Nielsen : Tror du har misforstået noget med hensyn til popcorntime... Det er tilladt at du tager en kopi af dine EGNE ting/dvd/videobånd men du må IKKE låne dem ud til andre. Og sælger du originalen skal du destruere kopien.
Hvordan du har fået den galt i halsen er mig en gåde :)

Peter Jensen

@ René,

I følge ExpressVPN selv så opererer de under de britiske jomfruøer. Disse øer er blot at betragte som værende i praksis underlagt Storbritannien (GCHQ). Deres hjemmeside og adm system ser ud til at være fysisk placeret i Storbritannien (GCHQ) i et amerikansk (NSA) ejet datacenter.

Amerikanske VPN-udbydere har ingen love der pålægger dem at logge brugernes internet aktiviteter. Men til gengæld har de et NSA ude af kontrol og er ikke en demokratisk retsstat - og så kan det hele jo være lige meget.

EU-VPN-tjenesteudbydere har så vidt jeg ved heller ikke pligt til at logge brugernes aktiviteter på internettet. Se evt i EU-direktiverne 95/46/EC ("Data Protection"), 2002/58/EC ("privacy on electronic communications").

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017