Een van de meest opzienbarende berichten over de praktijken van softwarebedrijven, is wel het artikel van Steven Englehardt, Gunes Acar en Arvind Narayanan, “No boundaries: Exfiltration of personal data by session-replay scripts“, dat deze maand is verschenen.
Zonder dat computergebruikers er weet van hebben worden door bepaalde softwarebedrijven de handelingen door computergebruikers geregistreerd, waarbij allerlei persoonsgegevens en andere vertrouwelijke gegevens worden geoogst via bepaalde scripts, de ‘session-replay scripts’. Het beschreven onderzoek had betrekking op session-replay script bedrijven Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam (‘SRS-bedrijven’). Waarschijnlijk zijn er nog meer van dergelijke bedrijven.
In de door de Englehardt c.s. bekend gemaakte lijst van bedrijven die SRS-bedrijven gebruiken, komen een groot aantal bekende namen voor, zoals Amerikaanse internetgiganten (Adobe, Microsoft, WordPress, HP, Logitech, Spotify) en andere grote bedrijven (Samsung). Op de lijst staat een securitybedrijf (Kaspersky). Via de zoekfunctie kwam ik geen .nl domeinen tegen, hoewel ik me herinner Clicktale wel eens bij Nederlandse sites te hebben gezien.
Het verzamelen en doorverkopen door SRS-bedrijven van de verkregen informatie is zeer riskant voor computergebruikers, zowel de privépersonen als bedrijven en organisaties. Bovendien is het in strijd met de Nederlandse en Europese privacy- en securitywetgeving.
Consequenties
Het bericht van Englehardt c.s. – het eerste van een serie – roept een groot aantal vragen op. Onder meer over de juridische consequenties voor de bedrijven die gebruik maken van de diensten van SRS-bedrijven. Technisch is de vraag of een computergebruiker iets tegen deze praktijken kan ondernemen, bijvoorbeeld door javascript (deels) uit te zetten, zoals dat kan met sommige browser-plugins. Ik heb nog geen artikelen gevonden waarin wordt beschreven of en hoe er technisch iets aan kan worden gedaan.
Al eerder signaleerde ik dat het tijd is voor regelgeving, die bedrijven verplicht om bekend te maken aan de computergebruiker dat zij of hun leveranciers gegevens verzamelen. De bedrijven dienen de gebruikers de mogelijkheid te geven de site te gebruiken en diensten af te nemen, zonder dat dit soort gegevensverzameling plaats vindt.
Verder is gewenst dat aanbieders van browsers (zoals Microsoft en Google) worden verplicht functies die dit soort gegevensverzameling mogelijk maken uit te zetten (privacy-by-design). Misschien moeten we maar eens af van de javascript-verslaving en moeten browsers volledig worden gestript.
Meer informatie:
- Steven Englehardt, Gunes Acar en Arvind Narayanan, “No boundaries: Exfiltration of personal data by session-replay scripts” op Freedom to Tinker. Via een ander bericht met een overzicht kan de lijst van sites in csv formaat (gezipt) worden gedownload.
- Op security.nl wordt het artikel van Englehardt c.s. samengevat.
- Naar aanleiding van dit artikel is het nodige geschreven, onder meer door Ars Technica, ITnews.com, Bild. Ook in andere Nederlandstalige media is het gesignaleerd, zoals in Webwereld.
Aanvulling 29 november 2017
Zie voor een uitvoerige Nederlandstalige uitleg dit artikel. Aanverwant is dat veel softwareleveranciers telemetriesoftware installeren, vaak – zoals printerleverancier HP – zonder toestemming van de gebruiker.
Ellen Timmer - juridische artikelen en berichten 
Via de link(Webwereld) vond ik veel (tientallen) Nederlandse gebruikers van SRS in tegenstelling tot bovenstaande tekst.
Dank voor je bericht, helaas is de link niet mee gekomen. Kun je die nog toevoegen?