Nijmeegse onderzoeker ontdekt een verborgen volgsysteem van Facebook: ‘Dit is erg invasief en brutaal’
-
Foto: Creative Commons/Yuri Samoilov
Tijdens het voorbereiden van een college ontdekte Gunes Acar iets dat techneuten van Google over het hoofd hadden gezien. Facebook hield verborgen dat ze informatie van Android-gebruikers verzamelden. Ook van bezoekers van de website van de Radboud Universiteit.
Tijdens de voorbereiding van het vak Online Tracking and Privacy bekeek Gunes Acar, universitair docent Digital Security, wat er gebeurt met de data van bezoekers van de site van de Radboud Universiteit. Wellicht zat er een mooi voorbeeld in voor het college.
Acar heeft de technische mogelijkheden om zich voor te doen als bezoeker van websites met verschillende apparaten. ‘Toen ik me uitgaf als bezoeker met een Android-apparaat, zag ik dat er een mysterieus verzoek kwam om data te versturen naar de localhost’, vertelt Acar in zijn werkkamer in het Mercatorgebouw. ‘De localhost is het apparaat waarop je de site bezoekt. Dat verzoek om data was vreemd, want normaal gaan er geen data van sites naar de localhost.’
Meta Pixel
De Meta Pixel op RU.nl
De tracking van Facebook kwam aan het licht via de zogenaamde Meta Pixel op RU.nl. De pixel van Facebook of Instagram geeft het bedrijf Meta toestemming om bezoekers te tracken. Op de site van de Radboud Universiteit wordt ook verwezen naar TikTok, Snapchat en YouTube. (Voxweb gebruikt ook de Meta Pixel, er wordt onderzocht of deze verwijderd kan worden omdat er niet geadverteerd wordt op die platformen, red.).
Daarmee stelt de Radboud Universiteit alle bezoekers en zeker studenten die de site voor hun studie moeten bezoeken bloot aan tracking zonder ze daar goed over te informeren, stelt Acar. De universiteit kan ervoor kiezen dat niet te doen. Ook Bart Jacobs, hoogleraar computer security, privacy & identity, is fel gekant tegen de tracking op de site van de universiteit. ‘De Radboud Universiteit levert haar bezoekers uit aan deze plunderbedrijven, die gericht zijn op commerciële en politieke manipulatie.’ Jacobs heeft jaren geleden al gevraagd of de webpagina van zijn onderzoeksinstituut iHub ‘verschoond kon blijven van verwijzingen naar foute social media platforms’, maar dat mocht niet. Dat is de reden waarom iHub een eigen website draait.
Bij monde van de woordvoerder zegt de universiteit dat op dit moment wordt onderzocht of de pixelmethode op de site stopgezet kan worden. ‘We kijken altijd kritisch naar de inzet van tracking methodes. Echter zijn we afhankelijk van deze platforms voor marketingdoeleinden, omdat onze doelgroepen daar zitten en we willen weten hoe onze campagnes het doen’, aldus de woordvoerder.
Het verzoek bleek afkomstig van Facebook. Net als veel andere sites gebruikt RU.nl stukjes code die ervoor zorgen dat ze het surfgedrag van bezoekers kunnen koppelen aan campagnes op social media. Door het plaatsen van die zogenoemde pixel (Meta Pixel, Snap Pixel, TikTok Pixel, enzovoort), krijgen de platformen toestemming om informatie te verzamelen over het surfgedrag van de bezoekers van de site. Wie bijvoorbeeld informatie zoekt over de opleiding psychologie op RU.nl zou op Facebook en Instagram, de platforms van moederbedrijf Meta, advertenties te zien kunnen krijgen van diezelfde opleiding aan de Radboud Universiteit (zie kader).
Door de informatie naar de localhost te verzenden (een uitgebreide technische uitleg is hier te lezen) omzeilde Meta pogingen van gebruikers om anoniem online te gaan. Wie zijn of haar privacy online wil beschermen kan gebruik maken van VPN’s of van bijvoorbeeld de incognitomodus van browsers. Door de methode van Meta had dit echter geen effect.
Tracking uit zicht
Over de intenties van Meta doet Acar geen uitspraken. ‘Als onderzoekers speculeren we niet over de intenties van bedrijven’, legt hij uit. ‘Maar in dit specifieke geval was het opvallend dat deze vorm van tracking al was opgemerkt door site-ontwikkelaars, zo las ik terug op fora. Op vragen van deze ontwikkelaars kwam destijds geen antwoord van Meta. Na een maand verdween de tracking weer – of dat dacht men althans. Meta stapte echter over op een minder opvallende manier van tracken. Je vraagt je dan wel af waarom ze niet gewoon uitleg gaven als het gewoon legaal was, in plaats van over te stappen op een methode die slechter zichtbaar is.’
‘Opvallend was ook hoe het script van Meta werkte. Zelfs als je hun apps niet gebruikte, uit had staan of geen toestemming gaf te tracken, bleef de app op de achtergrond data verzamelen terwijl je de telefoon gebruikte.’
Bij het uitbreiden van het onderzoek kwam de groep wetenschappers, die Acar inmiddels had gevormd met collega’s van de KU Leuven en het Spaanse IMDEA Networks, erachter dat ook het Russische bedrijf Yandex, vooral bekend van hun zoekmachine, aan dergelijke verborgen tracking op Android deed. Waar Facebook er sinds september 2024 mee bezig was, bleek Yandex het al sinds 2017 te doen.
De ontdekking van het onderzoeksteam van Acar was zelfs nieuws voor Google, het bedrijf achter Android. ‘Ze reageerden heel boos op Meta’, aldus Acar. ‘We moeten ervan uitgaan dat Google, ondanks alle kennis die ze hebben, niet door heeft gehad dat Meta dit deed op hun apparatuur.’
‘Onlangs moest Facebook data en privéberichten aanleveren bij de Amerikaanse justitie voor de vervolging van vrouwen die een abortus hadden ondergaan’
De techniek die door Acar werd ontdekt verbaasde hem ook. ‘Deze manier van data verzamelen was erg invasief en brutaal. Sindsdien houd ik rekening met extremere mogelijkheden waarmee data worden verzameld.’
Voor sommige computergebruikers maakt het weinig uit wat een bedrijf als Meta van ze weet. Toch waarschuwt Acar voor het verzamelen van gegevens. ‘Onlangs moest Facebook data en privéberichten aanleveren bij de Amerikaanse justitie voor de vervolging van vrouwen die een abortus hadden ondergaan.’
Vidi
Dankzij een Vidi-subsidie van NWO kan Acar de komende vijf jaar zijn onderzoek naar digitale veiligheid voortzetten. Hij start er de Web Security and Privacy Observatory (WeSPO) mee op. ‘Via het observatorium willen we blootleggen op welke plekken digitale veiligheid in gevaar is. Zo werden er veel data en creditcardgegevens van consumenten van British Airways gestolen toen ze op hun site gebruikmaakten van een toepassing van een derde partij.’
