Google stelt de invoering van de controversiële Privacy Sandbox uit tot eind 2023. Het bedrijf zegt dat het samen met de advertentie-industrie meer tijd nodig heeft voor een goede implementatie. Het verwijderen van trackingcookies in Chrome gebeurt nu pas eind 2023.

Google zegt in een blogpost dat het ‘duidelijk is geworden dat er meer tijd nodig is’ om het initiatief goed op te zetten. Het aanvankelijke plan was om alle trackingcookies uiterlijk eind 2021 uit Chrome te verwijderen. Google gaat nog de komende maanden door met overleg met de industrie, en het testen van de technologieën. Dat duurt tot zeker eind 2022. Dan komt een nieuwe versie van Chrome uit waarin de Privacy Sandbox-api’s worden opgenomen. “Tijdens deze eerste fase krijgen uitgevers en de advertentie-industrie om hun diensten te migreren”, zegt Google.

DuckDuckGo heeft Email Protection geïntroduceerd, een gratis e-maildienst die trackers verwijdert uit mails en deze mails kan doorsturen naar andere e-maildiensten, zoals Gmail en Outlook. Gebruikers kunnen privé-e-mailadressen aanmaken en deze ook deactiveren.

Email Protection is geen maildienst zoals Gmail en Outlook, waarbij gebruikers zelf in een inbox kunnen lezen en aanmaken. In plaats daarvan [maken gebruikers een @duck.com-mailadres aan], die ze kunnen gebruiken voor andere websites en diensten. Als gebruikers zich bijvoorbeeld aanmelden voor een nieuwsbrief met een @duck.com-mailadres, dan gaat die nieuwsbrief eerst naar DuckDuckGo. De dienst verwijdert dan alle trackers en stuurt deze weer door naar de maildienst van de gebruiker.

DuckDuckGo zegt nooit de e-mails of de headers op te slaan. Afbeeldingen blijven beschikbaar, alleen trackers worden verwijderd. Gebruikers kunnen in de mail zien welke trackers verwijderd zijn. Deze trackers worden volgens DuckDuckGo gebruikt om mensen te volgen. Zo kunnen bedrijven zien wanneer een mail voor het eerst is geopend, waar de gebruiker is en welk apparaat hij of zij gebruikt. Deze informatie wordt meestal voor analytics of reclamedoeleinden gebruikt of soms aan andere bedrijven verkocht.

Gebruikers kunnen met de DuckDuckGo-app en -extensie een persoonlijk @duck.com-adres aanmaken om aan bedrijven te geven. Tegelijkertijd kunnen ze ook een Private Duck Address aanmaken om aan bedrijven te geven, als ze niet vertrouwen dat een site of app goed om zal gaan met het mailadres. Een Private Duck Address is @duck.com-mailadres met een willekeurige naam, zoals w11tzqdr@duck.com. Deze privéadressen zijn te deactiveren, mocht een adres te vaak misbruikt worden voor spam.

De Email Protection-dienst is vooralsnog in bèta en werkt met een wachtlijst. DuckDuckGo zegt dagelijks mensen toe te voegen aan de dienst. Via de DuckDuckGo-app kunnen gebruikers zich aanmelden bij de wachtlijst. De organisatie belooft de emaildienst ‘voor de lange termijn’ te ondersteunen.

Inside the Industry That Unmasks People at Scale

Unique IDs linked to phones are supposed to be anonymous. But there’s an entire industry that links them to real people and their address.

By Joseph Cox

July 14, 2021, 3:00pm

Hacking. Disinformation. Surveillance. CYBER is Motherboard’s podcast and reporting on the dark underbelly of the internet.

SEE MORE →

Tech companies have repeatedly reassured the public that trackers used to follow smartphone users through apps are anonymous or at least pseudonymous, not directly identifying the person using the phone. But what they don’t mention is that an entire overlooked industry exists to purposefully and explicitly shatter that anonymity.

They do this by linking mobile advertising IDs (MAIDs) collected by apps to a person’s full name, physical address, and other personal identifiable information (PII). Motherboard confirmed this by posing as a potential customer to a company that offers linking MAIDs to PII.

“If shady data brokers are selling this information, it makes a mockery of advertisers’ claims that the truckloads of data about Americans that they collect and sell is anonymous,” Senator Ron Wyden told Motherboard in a statement.

“We have one of the largest repositories of current, fresh MAIDS<>PII in the USA,” Brad Mack, CEO of data broker BIGDBM told us when we asked about the capabilities of the product while posing as a customer. “All BIGDBM USA data assets are connected to each other,” Mack added, explaining that MAIDs are linked to full name, physical address, and their phone, email address, and IP address if available. The dataset also includes other information, “too numerous to list here,” Mack wrote.

A MAID is a unique identifier a phone’s operating system gives to its users’ individual device. For Apple, that is the IDFA, which Apple has recently moved to largely phase out. For Google, that is the AAID, or Android Advertising ID. Apps often grab a user’s MAID and provide that to a host of third parties. In one leaked dataset from a location tracking firm called Predicio previously obtained by Motherboard, the data included users of a Muslim prayer app’s precise locations. That data was somewhat pseudonymized, because it didn’t contain the specific users’ name, but it did contain their MAID. Because of firms like BIGDBM, another company that buys the sort of data Predicio had could take that or similar data and attempt to unmask the people in the dataset simply by paying a fee.

“Anyone and everyone who has a phone and has installed an app that has ads, currently is at risk of being de-anonymized via unscrupulous companies,” Zach Edwards, a researcher who has closely followed the supply chain of various sources of data, told Motherboard in an online chat. “There are significant risks for members of law enforcement, elected officials, members of the military and other high-risk individuals from foreign surveillance when data brokers are able to ingest data from the advertising bidstream,” he added, referring to the process where some third parties obtain data on smartphone users via the placement of adverts.

This de-anonymization industry uses various terms to describe their product, including “identity resolution” and “identity graph.” Other companies claiming to offer a similar service as BIGDBM include FullContact, which says it has 223 billion data points for the U.S., as well as profiles on over 275 million adults in the U.S.

“Our whole-person Identity Graph provides both personal and professional attributes of an individual, as well as online and offline identifiers,” marketing material from FullContact available online reads, adding that can include names, addresses, social IDs, and MAIDs.

“MAIDs were built for the marketing and advertising community, and are tied to an individual mobile device, which makes them precise in identifying specific people,” the material adds.

On a listing advertising its capability to link MAIDs to personal information, BIGDBM says “The BIGDBM Mobile file was developed from online providers, publishers and a variety of data feeds we currently obtain from a multitude of sources.” That listing did not list the specific types of PII that BIGDBM offers, so Motherboard posed as a potential customer interested in sourcing such data for a stealth startup.

BIGDBM did not respond to multiple requests for comment. FullContact did not respond to a list of questions, including whether its MAIDs and PII is collected with consent, and what sort of protections FullContact has in place to stop abuse of its capability to unmask the person behind a MAID.

Edwards said that the existence of companies that explicitly link MAIDs to personal information may provide issues under privacy legislation.

“This real-world research proves that the current ad tech bid stream, which reveals mobile IDs within them, is a pseudonymous data flow, and therefore not-compliant with GDPR,” Edwards told Motherboard in an online chat.

“It’s an anonymous identifier, but has been used extensively to report on user behaviour and enable marketing techniques like remarketing,” a post on the website of the Internet Advertising Bureau, a trade group for the ad tech industry, reads, referring to MAIDs.

In April Apple launched iOS 14.5, which introduced sweeping changes to how apps can track phone users by making each app explicitly ask for permission to track them. That move has resulted in a dramatic dip in the amount of data available to third parties, with just 4 percent of U.S. users opting-in. Google said it plans to implement a similar opt-in measure broadly across the Android ecosystem in early 2022.

Apple and Google acknowledged requests for comment but did not provide a statement on whether they have a policy against companies unmasking the real people behind MAIDs.

Senator Wyden’s statement added “I have serious concerns that Americans’ personal data is available to foreign governments that could use it to harm U.S. national security. That’s why I’ve proposed strong consumer privacy legislation, and a bill to prevent companies based in unfriendly foreign nations from purchasing Americans’ personal data.”

Privacyexperts bezorgd over tracking door middel van qr-codes

maandag 26 juli 2021, 16:04 Bron: Security.nl

Qr-codes zijn tegenwoordig niet meer weg te denken, maar privacyexperts maken zich zorgen over de tracking die deze technologie mogelijk maakt. De code kan namelijk informatie bevatten wanneer, waar en hoe vaak een scan plaatsvindt. Daarnaast kan een qr-code ook een website openen die gebruikers trackt of om informatie vraagt.

Door middel van qr-codes hebben sommige restaurants al databases opgezet met de bestelgeschiedenis en contactgegevens van klanten, zo meldt The New York Times. Volgens de krant zullen mensen mogelijk binnenkort al met gepersonaliseerde aanbiedingen te maken krijgen als ze op qr-code-gebaseerde betaalsystemen gebruiken.

“Mensen beseffen niet dat wanneer je een qr-code scant, het complete apparaat van online tracking tussen jou en je maaltijd wordt geplaatst”, zegt Jay Stanley van de Amerikaanse burgerrechtenbeweging ACLU tegenover The New York Times. “Opeens is je offline activiteit dat je iets gaat eten onderdeel van een online advertentiecampagne geworden.”

Verschillende partijen bieden inmiddels digitale menu’s waarbij gebruikers via qr-codes kunnen bestellen. Eén van deze partijen is Mr Yum. Dit bedrijf gebruikt cookies binnen de digitale menu’s om de bestelgeschiedenis van klanten te volgen en geeft restaurants toegang tot deze data, gecombineerd met het telefoonnummer en creditcard van de klant. De software wordt nu in Australië getest en kan mensen op basis van eerdere bestellingen aanbevelingen doen.

Volgens Lucy Bernholz van de Stanford University vormen qr-codes een belangrijke eerste stap om de ervaring die mensen hebben bij het worden getrackt door Google op hun computer ook in de fysieke ruimte buiten hun woning te laten plaatsvinden.

Bron: NOS NIEUWS • ECONOMIE •TECH • VANDAAG, 16:54

Privacywaakhond: brancheorganisatie online advertenties overtreedt wet

De online advertentiebrancheorganisatie IAB Europe handelt in strijd met de Europese privacywet. Dat heeft de Belgische Gegevensbeschermingsautoriteit (GBA) geoordeeld namens alle Europese autoriteiten.

IAB Europe moet binnen twee maanden een plan presenteren waarmee het lijn in komt met de wet. Ook moet de organisatie een kwart miljoen euro boete betalen.

Toestemming vragen

De toezichthouder heeft meerdere inbreuken geconstateerd, die gaan over de manier waarop toestemming wordt gevraagd voor het verzamelen van data van websitebezoekers. IAB Europe heeft hiervoor een zogeheten framework opgezet, wat in feite een systeem is dat het mogelijk maakt om vast te leggen of een websitebezoeker wel of niet gevolgd wil worden. Je wordt hiernaar gevraagd als je voor het eerst een website bezoekt. Volgens de GBA is de uitleg die mensen krijgen als ze toestemming moeten vragen te vaag.

Daarnaast is dit framework belangrijk in een ander proces dat zich op de achtergrond geautomatiseerd afspeelt, stelt de GBA. Op het moment dat je op een website terechtkomt, wordt er door partijen namens duizenden adverteerders geboden (ook wel real time bidding genoemd) op de beschikbare advertentieruimte. Het doel is om jou als consument daarbij, op basis van je gedrag, gepersonaliseerde advertenties te tonen op die specifieke website.

“Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen”, zegt Hielke Hijmans, voorzitter van de Geschillenkamer van de Belgische privacywaakhond. Volgens Hijmans zal deze zaak “grote gevolgen” hebben voor de bescherming van persoonsgegevens van internetgebruikers.

Alhoewel het proces van toestemming dus plaatsvindt op duizenden websites tegelijk, is IAB Europe volgens de Gegevensbeschermingsautoriteit wel verantwoordelijk voor het proces.

Niet eens met besluit

IAB Europe zegt in een reactie het niet eens te zijn met de uitspraak en vindt dat het niet verantwoordelijk is voor de data die worden verzameld. Het waarschuwt dat deze uitspraak “grote, onvoorziene negatieve gevolgen gaan hebben ver voorbij de digitale advertentie-industrie”. Het houdt alle juridische opties open.

De zaak is het gevolg van klachten die de Belgische toezichthouder in 2019 kreeg. Dit is was gezamenlijk werk van vier organisaties en twee academici.