Elke computer is uniek te identificeren aan de hand van zijn instellingen. Het zogenaamde device fingerprinting kan als alternatief voor cookies worden gebruikt, maar ook worden ingezet om fraude te voorkomen.
Tekst: Arnoud Groot
Het principe achter device fingerprinting is even eenvoudig als doeltreffend. Elke internetbezoeker stelt zijn computer, webbrowser en software naar eigen voorkeur in. Daarbij maak je doorgaans honderden persoonlijke keuzes, die variëren van lettertype en bookmarks tot toegevoegde werkbalken en plug-ins. Als je al die instellingen bij elkaar optelt, ontstaat er een totaalplaatje dat net zo uniek is als een vingerafdruk - en daardoor een zéér trefzeker middel om unieke devices te identificeren en te tracken. Vandaar de naam ‘fingerprinting’, letterlijk het verzamelen van vingerafdrukken van computers, dat overigens ook heel goed werkt voor tablets, smartphones en andere mobiele hardware.
Fingerprinting is niet nieuw. De technologie werd enkele jaren geleden ontwikkeld om creditcardfraude te kunnen opsporen en voorkomen. Met de toenemende wereldwijde ophef rond het gebruik van cookies zagen adverteerders en webshops in fingerprinting een mogelijk alternatief. In tegenstelling tot de bij cookietechnologie gebruikte codes op de harde schijf is fingerprinting immers niet afhankelijk van geplaatste merktekens. Het geheel van instellingen werkt namelijk als identificatie, zodat het voor de computergebruiker in kwestie veel minder eenvoudig te achterhalen is dat zijn computer daadwerkelijk in kaart is gebracht. De methode is dus niet of nauwelijks waarneembaar en er hoeft ook niets op de computer van de internetgebruikers te worden geplaatst.
Felle reacties
Dat maakte de publicitaire terugslag tegen de technologie er niet minder op. Tijdens een serie artikelen over online privacy in 2011 zoomde The Wall Street Journal in op de inmiddels hard gegroeide start-up BlueCava, een expert in ‘device identification technology’. Naar eigen zeggen had BlueCava op dat moment al de unieke kenmerken van ‘enkele honderden miljoenen’ computers in zijn database verzameld en verwachtte daar binnen het jaar het miljardste stuk hardware aan toe te kunnen voegen. Na felle reacties van privacyorganisaties werd aanzienlijk minder open gecommuniceerd over het gebruik van fingerprinting. In Nederland valt de technologie inmiddels, net als het gebruik van cookies, onder de cookiewet.
Uit recent onderzoek door een team Europese wetenschappers blijkt desalniettemin dat een klein deel van de onderzochte websites bezoekers met behulp van fingerprinting volgt. Zonder medeweten of toestemming van de bezoeker, en zelfs als die zijn ‘Do Not Track-optie’ heeft geactiveerd. De onderzoekers scanden de door web information company Alexa vastgestelde top tienduizend van internationale websites en vond 145 sites die Adobe Flash Player-code gebruikten om computers van gebruikers te scannen. Onder meer Orbitz, T-Mobile en Western Union werden betrapt met de vingers in de koektrommel. Conclusie van het onderzoek: ‘Device fingerprinting betekent een serieus privacyrisico voor internetgebruikers.’
Ongeoorloofd
Hoewel zich onder de betrapte sites geen Nederlandse webshops bevonden, betekent dat niet dat deze technologie hier niet wordt gebruikt. ‘Omdat het opsporen van desbetreffende Adobe Flash-code veel werk vereist, hebben we ons onderzoek tot de tienduizend grootste sites beperkt’, aldus onderzoeker Günes Acar van de Katholieke Universiteit Leuven. ‘Bovendien hebben we alleen de homepages geanalyseerd, terwijl bekend is dat deze tracking-technologie ook vaak wordt toegepast op registratiepagina’s en andere belangrijke onderdelen van webshops.’
Voor Nederlandse webshops die deze technologie gebruiken - of dat overwegen - is het goed te weten dat deze eveneens onder de cookiewet valt en dat er nu dus ook technologie beschikbaar is waarmee dit gebruik kan worden opgespoord. De betrokken wetenschappers maken deze zogenaamde FPDetective binnenkort ook vrij beschikbaar voor ‘gewone internetgebruikers’, die dan dus zelf kunnen nagaan of zij ongeoorloofd worden gevolgd. Zeker gezien de momenteel weer sterk opgelaaide privacydiscussie lopen webshops die fingerprinting gebruiken om internetgebruikers te volgen daarom een fors afbraakrisico.
Fraudevingers
Toch kan device fingerprinting van grote waarde zijn voor webshops, namelijk in de strijd tegen de immer slimmer wordende fraudeurs. ‘De meest voorkomende vorm van online fraude is identiteitsfraude’, aldus fraude-expert Elie Casamitjana van betalingsdienstverlener Ogone. ‘Fraudeurs die zich voordoen als iemand van wie zij eerder de creditcardgegevens hebben gestolen of gekocht. Daarmee moeten zij snel hun slag slaan, dus direct een groot aantal transacties doen. Daarom vervalsen zij vooraf een groot aantal e-mailadressen, IP-nummers, telefoonnummers en andere persoonsgegevens.’
In alle achtereenvolgende transacties is doorgaans echter één constante: het device waarmee de fraudeur zijn aankopen verricht. Dankzij device fingerprinting kunnen al deze aankopen tot aan hetzelfde device worden herleid, waarmee de ‘risk score’ van de betalingen direct in het rood uitslaat.
‘Daarbij komt dat wij de gebruikte devices registreren over al onze klanten die de Ogone Fraud Expert-oplossing gebruiken’, vult Casamitjana aan. ‘Dat betekent dus dat een Nederlandse webshopeigenaar ook wordt gewaarschuwd voor devices die eerder bij andere Europese webshops zijn gebruikt voor dubieuze transacties. Bovendien kan met deze technologie nu ook worden vastgesteld of de fraudeur zich “verschuilt” achter een proxy of Virtual Private Network. Als dat het geval is, gaat de risicoscore van de desbetreffende transactie eveneens aanzienlijk omhoog. De webshop kan dan zelf bepalen of de transactie al dan niet wordt afgeblazen.’
Dit artikel verscheen eerder in Twinkle 1-2014.
Er is op dit moment 0 keer gereageerd op:
Op jacht naar de digitale vingerafdruk
Je kunt niet meer reageren op dit artikel.