nrk.no

Norske nettsider bruker kontroversiell metode for nettsporing

Kategori: Samfunn

KONTROVERSIELL: Flere norske nettsider benytter en metode for å spore nettbrukere. Illustrasjon: Martin Gundersen / skjermbilder


Finn, Dagens Næringsliv, og Scandic Hotels er blant 27 norske nettsteder som bruker en metode som kan svekke sikkerhet og personvern til nettbrukere.

En studie viser at en omstridt metode for å spore nettbrukere blir stadig mer populær. Én av ti blant de 10.000 mest populære nettsidene i verden bruker nå teknikken kalt «CNAME-tracking».

– Denne teknikken er farlig. Den skader nettsikkerhet og personvern, skriver sikkerhetsforsker Lukasz Olejnik på bloggen sin.

Funnene er del av et større arbeid Olejnik har gjort sammen med forskere fra det nederlandske universitetet KU Leuven. De har foreløpig ikke publisert hele datasettet, men de har delt en analyse gjort oktober 2020 med NRKbeta. Den viste at 27 norske nettsider da brukte teknikken.

NRKbeta gjorde i vår tekniske undersøkelser som bekreftet at Finn, Dagens Næringsliv (DN), og Scandic Hotels benytter metoden kalt «CNAME-tracking».

Omgår sporingsbeskyttelse

CNAME-tracking er kontroversielt fordi det visker ut skillet mellom nettsiden du besøker, gjerne kalt en førstepart, og alle andre. De kalles gjerne tredjeparter.

For når du besøker en nettside kan mange selskaper komme i kontakt med nettleseren din. Det kan være analysetjenester som Google Analytics eller Facebook via et innbakt element.

Nettlesere som Firefox og Safari har i nyere tid blitt strengere med hvilke tredjeparter som får lov å snakke med nettleseren. Mange har også installert nettlesertilleggene Ublock Origin og Privacy Badger som setter lignende begrensninger.

«CNAME-tracking» kan omgå noen av disse sperrene ved at en tredjepart kan fremstå som en førstepart.

EGEN NETTADRESSE: Metoden baserer seg på at et ekstern selskap som Adobe kan få en adresse på nettsiden. Slik blir det en førstepart. Illustrasjon: Martin Gundersen/NRK/TRGReal

DN, Schibsted, og Scandic Hotels har alle samarbeid med Adobe og de oppgir å ha avtaler som begrenser hvordan Adobe kan bruke informasjonen som blir tilgjengeliggjort. Adobe får blant annet ikke lov til å bruke informasjonen til egne formål eller dele den videre med andre. Selskapene mener disse tiltakene sikrer brukernes personvern.

– Adobe CNAME brukes aldri til å spore en person eller enhet på tvers av domener som eies av forskjellige Adobe-kunder, forklarer Frank Jansen som leder innsiktsarbeidet i DN.

DN bruker Adobes tjeneste til analyse og markedsføring. Schibsted opplyser at de kun bruker Adobe til å analysere bruksmønstre på den digitale markedsplassen Finn, noe de ikke har egenutviklede verktøy for.

– Det vi er ute etter og ser på er mønstre for store brukergrupper. Vi bruker altså ikke teknologien for å analysere enkeltbrukere, men for å måle hvor gode produktene våre er, sier direktør for personvern Ingvild Næss i Schibsted, om samarbeidet med Adobe.

Brukernes sikkerhet og personvern har høy prioritet hos oss, oppgir kommunikasjonssjef Lars Vestad i Scandic Hotels.

– Vi forventer at Adobe forholder seg til avtalen de har med oss og følger gjeldende lover og regler, sier Vestad.

Sikkerhetsutfordringer

Forskergruppen fant tilfeller der CNAME-teknikken delte brukerens påloggingscookie med samarbeidspartneren, noe som kan svekke brukerens nettsikkerhet. Slike cookies, også kalt informasjonskapsler, er ofte alt man trenger for å logge seg inn som brukeren.

– Vi har sett på de potensielle sikkerhetsutfordringene som den upubliserte rapporten påstår at metoden kan medføre, men så langt har verken Adobe eller vi funnet at disse er gyldige for vår bruk, sier Jansen i DN.

Som følge av NRKs henvendelse startet DN sin egen undersøkelse. Der fant de ut at Adobe fikk tilsendt noe mer informasjon «enn strengt tatt nødvendig». Det har DN allerede gjort noe med, opplyser Jansen.

– På generelt grunnlag ser vi at teknologi kan misbrukes, sier Næss, som er åpen om at en rekke leverandører på markedet ikke oppfyller deres krav til personvern og sikkerhet.

– Derfor er det også avgjørende for oss i Schibsted å ha på plass omfattende vurderinger og tiltak, herunder inngå avtaler i tråd med lovverket, som beskrevet over. Det er vår fremste prioritet å sørge for at personvernet og sikkerheten til våre brukere er godt ivaretatt.

Oppdatert 21.april 17.50: I en tidligere versjon stod det at studien enda ikke var fagfellevurdert. Det stemmer ikke og artikkelen er nå oppdatert.

9 kommentarer

    • Christian W. (svar til Torkel)

      Vil ikke tro det da UBlock og de fleste andre slike blokkere baserer seg på lister med kjente sporingsdomener. Og hvis sporingen skjer via et underdomene til det domenet du mente å besøke så vil ikke disse triggerne slå inn.

    • Mats Staugaard (svar til Mats Staugaard)

      .. og jeg tok feil. Siste versjon av Brave og Firefox har også innført tilltak mot CNAME cloaking.

      Men som vanlig – ikke bruk Chrome.

  1. I den grad nettleserne klarer å håndtere det på en god måte virker det hele ganske greit, men det er jo litt synd at man må installere noe for å få denne CNAME-varianten til å bli gjenkjent Noe mer transparent å f.eks. ha et subdomene hos Adobe til formålet.

    Når Safari og Firefox setter begrensninger på levetiden og spredningen av cookies til trackerne de gjenkjenner, påvirker det i praksis i liten grad målinger ment for å bedre nettsiden og det er bra at dette er innebygget fremfor at vi faktisk må lese cookie-aksept eller bruke mindre smarte former for blokkering.

    Svar på denne kommentaren

  2. Lokaler til leie Hamar

    For det meste er det gjort for å målrette reklame. Instagram gjør det samme. Jeg la til og med merke til at ting jeg planla å kjøpe i nær fremtid, og jeg snakket om dem da jeg brukte Instagram, plutselig dukket opp i en annonse. Jeg tror ikke dette bare er en tilfeldighet. Og jeg vet også at mange selskaper bruker VPN for nettlesere på bærbare kontorer for å sikre informasjon. Det er også en Tor-nettleser som sikrer posisjonen din mens du er på internett.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.