nrk.no

Disqus delte persondata om titalls millioner internettbrukere uten at nettsidene visste om det

Kategori: Samfunn

Disqus delte personlig informasjon om nordmenn med syv selskaper, viser datatrafikk analysert av NRKbeta på en tom nettside gjort med norsk IP-adresse. Illustrasjon: Martin Gundersen/Alice Design (via Noun Project)/Angriawan Ditya Zulkarnain (via Noun Project)

NRKbeta avslører: Selskap som leverer kommentarfelt på en rekke anerkjente nettsteder innrømmer å ha brutt norske personvernlover. Begrunnelse? De kjente ikke til regelverket.

I november omtalte vi at seks norske nettsider har delt informasjon om sine besøkende. Det gjorde de via kommentarfelt drevet av det amerikanske selskapet Disqus.

Slik ble personlig informasjon om flere hundretusen nordmenn sendt til en rekke selskaper innen markedsføringsbransjen.

Det viser seg også at titalls millioner internettbrukere har blitt sporet av Disqus uten at de selv eller nettsidene de har besøkt, har kjent til selskapets andre inntektskilde.

For gjennom årene har Disqus bygget ut verktøy og forretningsforbindelser for å tjene penger på brukerne de er i kontakt med.

Ifølge Disqus er det globalt snakk om to milliarder månedlige brukere.

– De kan ikke drepe noen og så si at de ikke visste det var ulovlig

Med innføringen av nye europeiske personvernregler i 2018 måtte Disqus gjøre endringer for å være i tråd med et strengere lovverk.

Det var nemlig denne typen datainnsamling og -deling regelverket kalt personvernforordning (GDPR) skulle stoppe.

Blant annet må selskaper som samler informasjon om norske borgere ha en juridisk begrunnelse på hvorfor det er greit, et såkalt behandlingsgrunnlag.

Disqus løste det med å innføre «privacy mode» for alle brukere med IP-adresse fra et EU-land, ifølge et blogginnlegg.

Under kan du se at man må trykke på den nederste boksen for at dataene skulle deles videre:

Disse boksene manglet inntil midten av desember for brukere fra Norge, Island, og Liechtenstein. Illustrasjon: Martin Gundersen

Det er bare et problem: Tre europeiske land innførte GDPR i 2018, men de er ikke med i EU.

«Fordi Norge ikke er et medlemsland i EU ble de ikke inkludert i vårt GDPR-oppsett», skriver Megan Rose i Zeta Global, morselskapet til Disqus. Rose oppgir at Norge, Island, og Liechtenstein nå er inkludert.

Det betyr at nordmenn ble behandlet som resten av verden utenfor Europa i 16 måneder, selv om vi hadde fått et nytt regelverk.

Det får Datatilsynet til å steile.

– De kan ikke drepe noen og så si at de ikke visste det var ulovlig, sier seksjonssjef Tobias Judin i Datatilsynet.

Tobias Judin er sjef for internasjonal seksjon i Datatilsynet. Foto: Martin Gundersen

At de ikke har hatt et gyldig behandlingsgrunnlag, hva betyr det?

– Å behandle personopplysninger uten behandlingsgrunnlag er automatisk et brudd på loven. Vi snakker om folk som har lest og kommentert nyheter. Det er virkelig i kjernen av ytringsfriheten og det å delta i samfunnsdebatten. Det er alvorlig og utrolig krenkende å dele slike data uten å følge GDPR, sier seksjonssjef Tobias Judin i Datatilsynet.

Konfrontert med Judins første uttalelse svarer Rose at: «Å sammenlikne deling av data med mord er skammelig og motbydelig.» Den andre uttalelsen om ytringsfrihet og å delta i samfunnsdebatten får stå for Judins egen regning, mener Rose.

– Vi skal slette data om nordmenn som var samlet inn med en feiltakelse. Det er en teknisk prosess som ikke kan gjennomføres med en gang, men det vil bli gjort snart. Fremover vil nordmenn ha den samme opplevelsen som innbyggere i andre EU-land, skriver Megan Rose.

Judin oppgir at denne typen lovbrudd kan føre til bøter, og at undersøker saken videre.

Et lovende teknologiselskap

I 2007 startet Daniel Ha og Jason Yan plattformen Disqus for å knytte lesere og publisister tettere sammen. På dette tidspunktet har iPhonen nettopp blitt lansert og de færreste nordmenn hadde fått seg Facebook-konto.

Selskapet sprang ut fra Y Combinator, en inkubator kjent for å ha avlet frem selskaper som AirBnB og Dropbox. Mulighetene var altså endeløse.

Foto: Disqus

Ifølge en studie fra 2011 stod Disqus for 75 prosent av alle kommentarfelt levert av et eksternt selskap.

I 2014 oppga Disqus å være på tre millioner nettsider og ha 150 millioner innloggede brukere. Til Adweek sa David Fleck, selskapets strategisjef fra 2011 til 2018, at: «Når folk kommer til en side som har Disqus, da vet vi hva de leser.»

Det ble første forsøk på å tjene penger på hvem brukerne er og hva de gjør.

Ingen vei videre

Den evige veksten varte ikke. Andre selskaper fra Silicon Valley albuet seg frem. De sosiale plattformene Facebook, Instagram, og Twitter ble over i løpet av tiåret stadig mer dominerende.

– Å flytte debatten over på sosiale medier er en naturlig konsekvens av medieutviklingen nå. Det er der, og særlig på Facebook, at sakene kommenteres og debatteres. Vi tester nå mulighetene som ligger i et tettere samarbeid med Facebook, sa Dagbladets daværende ansvarlige redaktør i 2016.

Oppmerksomhet om den noen ganger hatske tonen gjorde også at flere bestemte seg for å stenge dem ned:

– Kommentarfeltet under innleggene var til tider så preget av avsporinger, usakligheter og krangling at de seriøse debattantene holdt seg unna, skrev Vårt Land-redaktør Alf Gjøsund, da avisen la ned sitt kommentarfelt.

Faksimile: TechCrunch

Æraen for selskaper som Disqus gikk sakte, men sikkert over. I 2016 måtte 20 prosent av de ansatte forlate selskapet, ifølge en artikkel i TechCrunch, hvor journalisten spådde at selskapet skulle fokusere på «data services».

Det nye fokuset lønte seg – året etter ble Disqus solgt til Zeta Global. Anslått verdi var 740 millioner kroner. På LinkedIn-profilen til David Flick står det i dag at: «Investorer og aksjeeiere fikk en vesentlig avkastning».

Oppkjøper Zeta Global understrekte også verdien av Disqus evne til å innhente brukerdata. I en pressemelding sa administrerende direktør David A. Steinberg i Zeta Global at Disqus skal bidra til deres mål om å «redefinere» markedsføringssektoren.

I et intervju i november 2018 oppga Steinberg at 750 av verdens 1000 mest verdifulle selskaper er deres kunder.

Salgsvaren deres er sannsynlighet for at en forbruker vil avslutte et kundeforhold eller kjøpe en vare. Til det trengs det mye informasjon.

På med bryteren

I september 2017 la den amerikanske utvikleren Zach Edwards merke til noe rart da han besøkte en nettside. Data strømmet veier de ikke skulle, og han skjønte ikke helt hvorfor.

– Jeg husker jeg tvitret om det den måneden. Det var da alle disse nye partnerne startet å dukke opp, sier Edwards.

I en årrekke har Edwards administrert og laget nettsider, gjerne med kommentarfelt fra Disqus eller konkurrentene. Nå jobber han hos Metax med å utvikle et verktøy for å analysere datatrafikk.

For å komme til bunns i mysteriet satte Edwards opp en helt ren nettside. Hver eneste innstilling ble gjennomgått. Hver boks huket av og på for å finne ut hva som hadde skjedd.

– Det var en enkelt innstilling de bestemte seg for å slå på for alle kontoer, sier Edwards til NRKbeta i dag.

– Det er et gratis verktøy som det koster å utvikle og vedlikeholde. På et eller annet tidspunkt så de på regnestykket og bestemte seg for å tjene penger på brukerne, sier Edwards.

Nå kaller han Disqus et «sofistikert system for å dele brukerdata».

Disqus, gjennom morselskapet Zeta Global, bekrefter til NRKbeta at «datadelingen har vært aktiv i flere år». Zeta Global har ikke svart direkte på påstanden om å være et sofistikert system for å dele brukerdata, men henviser til en ressursside (Hvordan Disqus virker) som ikke nevner brukeres personvern.

De som ikke visste

NRKbeta har kontaktet 23 nettsider der datatrafikk tilsier at de deler data med tredjeparter via Disqus. Alle de 11 som har svart forteller at de ikke har kjent til innstillingen og at den nå er slått av.

Samlet ser det ut til at 12 nettsteder med et internasjonalt publikum på mer enn fem millioner månedlig besøk har delt mer brukerdata enn nødvendig, ifølge trafikkmåletjenesten SimilarWeb.

Det som kjennetegner flere av dem er at de retter seg mot politikk (Breitbart, The Gateway Pundit, Daily Wire) eller teknologi (9to5mac, ZDNet, PC Gamer, How-To Geek)

I New York Times har personvern blitt et prioritert område. 10. april skrev publisher A.G. Sulzberger selv at: «Også vi undersøker våre retningslinjer og arbeidsmåter rundt data».

Det betyr likevel ikke at New York Times fanget opp at Disqus i en årrekke har videresendt data om de som besøker en av nettsidene de eier.

– Takk for at du gjør oss oppmerksom på denne standardinnstillingen, som nå er avslått, skriver Danielle Rhoades Ha i New York Times kommunikasjonsavdeling, om nettstedet Wirecutter. Brukerne ble ikke ikke informert om datadelingen i deres personvernerklæring.

NYT har det siste året prioritert å redusere hvor mye data om brukerne de deler videre, men på direkte spørsmål om hva hendelsen betyr for Disqus svarer Ha at de ikke diskuterer enkelttjenester.

En nettside som i dag setter opp Disqus vil ha deling av brukerdata påslått. Nettsidene kan selv slå av denne delingen. Slik ser menyen flere internasjonale nettsteder ikke visste om:

Menyen for det som kalles «data sharing» ligger under avanserte innstillinger. Disqus bekrefter at denne er påslått som standard i EU. Illustrasjon: Martin Gundersen

Hvor alvorlig der denne datadelingen? Vi spør Bennett Cyphers i den digitale rettighetsorganisasjonen Electronic Frontier Foundation (EFF).

– Via Disqus deles det data med flere av de mest notoriske overvåkerne i industrien. Det påvirker mange av de største politiske nettsidene i verden, svarer Cyphers over Signal.

Bennett Cyphers arbeider med personvern for EFF. Foto: Privat

Hos EFF utvikler han verktøy som gjør vanlige folk sikrere og mindre overvåket på nett.

– Brukerne får ingenting igjen av sporingen og det er ingen måte for dem å samtykke til det (utenfor Europa, red.anm.). At New York Times slo av sporingen bare du spurte burde være bevis nok i seg selv.

Teknisk sjef i konsulentselskapet Bouvet, Simen Sommerfeldt, mener det er problematisk at verken brukere eller nettsider har vært klar over praksisen.

– Skulle dette vært ordentlig måtte de være helt åpne med nettstedene. Det er de ikke, sier Sommerfeldt, som mener det er tydelig at «brukerne inngår i en pengestrøm».

Ifølge ham er forretningspraksisen til Disqus uetisk ettersom få nettsider har vært klar over data delingen, eller muligheten til å slå den av.

Konfrontert med uttalelsene til Cyphers og Sommerfeldt svarer Megan Rose i Zeta Global på vegne av selskapene at: «Alle publisister har vært forelagt Disqus sine bruksvilkår og de har alltid hatt mulighet til å slå av datadelingen etter eget ønske». Brukere kan også melde seg ut av datadelingen på deres nettsider.

Rose understreker også at de tar personvern «svært alvorlig» med en henvisning til deres blogginnlegg om de nye europeiske personvernlovene fra 2018.

Les også Computer Worlds selvreflekterende nyhetssak om hvorfor de og andre nettsider bidro til å dele persondata. (Bak betalingsmur)

Hva sier noen av nettsidene selv:
– Vi kjente ikke til denne innstillingen i Disqus (som tillot deling, journ.anm.) siden den er nokså gjemt. Vi har slått den av nå, sier Rory McCafferty, på vegne av The Hill.

– Vi slo den av, takk for at vi ble gjort oppmerksomme på det, sier publisher Seth Weintraub i 9to5mac.

– IGN Nordic og IGN Benelux har undersøkt innstillingene i Disqus. Vi vil slå av enkelte innstillinger i Disqus, skriver Nick Nijland, redaktør i IGN Benelux.

– Vi tar all unødvendig sporing alvorlig og vi er takknemlige for alle tips og løsninger som beskytter brukerne våre bedre. Vi har nå slått av den aktuelle innstillingen, skriver Markus Andersson, sjefredaktør i Nya Dagbladet.

I vår forrige sak svarer seks norske nettsider

21 kommentarer

  1. Åsmund Agdestein

    Jeg bruker Disqus – og etter at MSM har utestengt meg havnet jeg hos bl.a. HRS/Rights.

    × Vi klarer ikke å poste kommentaren din fordi du har blitt utestengt av Human Rights Service. Finn ut mer.

    NorgesViktigsteVarsler.blogspot.com

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Åsmund Agdestein)

      Denne kommentaren er litt utenfor sakskomplekset. Om du har problemer med Rights (eller andre nettsider) må du ta det med dem, og ikke i kommentarfeltet her.

  2. Jeg forventer at datatilsynet følger opp dette, og at dette går mot en joint anmeldelse fra Norge, Island og Liechtenstein.

    «Å sammenlikne deling av data med mord er skammelig og motbydelig.»
    Å trekke det kortet der, for å komme seg unna brudd på ytringsfriheten, systematisk overtramp av privatliv, og generelt prøve å undergrave viktigheten av MINE rettigheter er også ganske skammelig og motbydelig.

    Svar på denne kommentaren

    • Stig Hemmer (svar til Alfred)

      Mord er så vidt jeg vet forbudt i alle verdens land. Det forventer jeg at folk vet.

      Personvern derimot, varierer vilt fra land til land og fra år til år. En skulle selvfølgelig ønske at internasjonale firmaer kan lovene til alle verdens land, men i praksis vil de ikke klare det.

      Det man derimot *kan* vente er at de retter opp feilen når de blir gjort oppmerksom på den. Og det er akkurat det Discus har gjort.

      Takk til de som oppdaget fadesen og takk til Discus for å rydde opp.

  3. …og NRK godtar trackers (sporere av aktivitet) fra følgende:

    google-analytics.com
    sb.scorecardresearch.com
    static.chartbeat.com

    Google; verdens største sporer (70-90% av alle sider). Noe for NRK å utelukke?

    Til brukere:
    Duckduckgo har tilleggsvare som blokkerer. Undersøk og vurder.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Stein Moen)

      Hei! Det stemmer.

      Det er litt komplisert å forklare Google Analytics (noe som er et problem), men meg bekjent deler vi ikke fulle IP-adresser med Google eller tillater at det brukes til å målrette reklame.

      Scorecard Research er Comscore. De gjør trafikkanalyse for oss og andre mediehus. Det for å kunne sammenlikne tall.

      Chartbeat brukes av NRK til å se hvor lenge brukere i gjennomsnitt på å lese en artikkel.

      Håper det var oppklarende!

    • Google får min IP-adresse når eg lastar inn scriptet som ligg på deira server.

      Di forklaring vekker like lite tillit som om New York Times, The Hill med fleire, hadde forklart at dei nyttar Disqus kun til kommentarfelt.

      Dei forsikrar oss alltid om at dei tek personvern på største alvor, men dei klarar ikkje å love oss at dei ikkje deler data med andre. For då kan dei ikkje gøyme det i kilometerlange vilkår eller personvernerklæringar, eller på femte side i innstillingane.

      Har du verkeleg trua på at desse selskapa ikkje samlar inn meir data enn det som er naudsynt for at tenesten skal fungere?

      Eg tykkjer det er bra de tek opp desse sakene. Tommel opp for uttalelse frå EFF.

    • Martin Gundersen (NRK) (svar til Stein Moen)

      Takk Ivar,

      Google sier nå at de fjerner deler av IP-en når de får den. Vet at andre stripper IP-adressen før den sendes.

      Det er umulig å være perfekt på personvern, men jeg tror NRK er ganske bra. Nå har jeg også avdekket at en tjeneste samler inn mer enn nødvendig, så jeg tror ikke det er dagen å si at jeg er helt naiv på dette heller. (Det kan du kanskje gjøre en annen dag?)

    • Nikolai Hegelstad (svar til Stein Moen)

      Med google metode kan man ikke spore beviselig en ip tilbake til en enkeltperson som lovverket ikke tillatter. Men man kan med stor treffsikkerhet mappe en delvis ip til en annen delvis ip og dermed likevel identifisere på tverrs av tjenester og drive automatisert markedsføring.

    • Mick Helm (svar til Stein Moen)

      Martin Gundersen: Rart at du får uttale deg om noe som helst på tematikken hvis du ikke har rukket å få med deg at ip-adresse ikke er særlig interessant for trekking lenger. Det er utlesing av browser-data, pixler etc. som brukes i tillegg til å identifisere og dette blir stadig videreutviklet. Å virkelig tro at man kan bruke google-tjenester og likevel verne brukerens anonymitet er i beste fall naiv. Sist jeg sjekket var google ikke en veldedig organisasjon, men prøver å tjene penger. Gjennom å ha et så komplekst bilde av reklameobjektene som mulig. Anonymitet er de minst interessert i.

    • Martin Gundersen (NRK) (svar til xiao)

      Wow, for en tone. Vær heller mer konstruktiv. Leser gjerne om du oppsummerer og inviterer til samtale

    • altså, du begynte å preike piss. når man blir så sjukt avkledd bør man bøye seg pent og si unnskyld, og ikke prøve å legge skylda på andre.

    • xiao: Den siste kommentaren din er i en slik stil at jeg ville finne det helt naturlig om både den originale kommentaren din og svarene du har fått ble slettet.

      Du bidrar overhodet ikke med noe positivt til debatten. Tvert om – og det i uttalt grad!

    • Åsmund Agdestein (svar til xiao)

      «Obligatoriske felt er merket med *.»
      «Navn *»
      «E-post *»
      .
      Alle som ikke oppgir fullt navn burde få sine kommentarer slettet – slik at også andre enn APs hemmelige og ulovlige Etterretningstjeneste kan se hvem som kommenterer…

  4. hei,

    «Google sier nå at de fjerner deler av IP-en når de får den. Vet at andre stripper IP-adressen før den sendes.»

    Betyr det at dere sender Google IP adressene so
    der uten å strippe dem før utsending?

    mvh
    K Omland

    Svar på denne kommentaren

    • Her på denne siden gjør dere minst tre kall til Google. At disse kallene i seg selv IKKE inneholder IP-adresser betyr ingenting. Siden disse kallene går fra MIN maskin til Google, så vet google NØYAKTIG hvilken IP-adresse dette kallet kom fra.

      Så enten får dere sjornalist-neper spørre noen som kan dette, eller holde kjeft. Dett pisspreiket dere driver med nå er drøyt!

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.