Verizon, AT&T verfolgen ihre Benutzer mit „Supercookies“

Verizon und AT&T haben die Internetaktivitäten von mehr als 100 Millionen Mobilfunkkunden mit von Kritikern als „Supercookies“ bezeichneten Markern im Stillen nachverfolgt – Markierungen, die so mächtig sind, dass selbst versierte Benutzer ihnen nur schwer entkommen können.

Die Technologie hat es den Unternehmen ermöglicht, zu überwachen, welche Websites ihre Kunden besuchen, und ihre Vorlieben und Interessen zu katalogisieren. Verbraucher können diese Supercookies nicht löschen oder sie durch die Verwendung von Browsereinstellungen umgehen, wie z.

Verizon und AT&T geben an, dass sie Schritte unternommen haben, um ihre Kunden auf das Tracking aufmerksam zu machen und die Privatsphäre der Kunden zu schützen, während die Unternehmen Programme entwickeln, die Werbetreibenden helfen sollen, ihre Anzeigen auf der Grundlage des individuellen Internetverhaltens zu verbessern. Aber als sich in den letzten Tagen die Nachricht über die Supercookies herumgesprochen hat, reagierten Datenschutzanwälte alarmiert und sagten, dass die Verfolgung das Internetverhalten der Benutzer einer Vielzahl von Außenstehenden – einschließlich Geheimdiensten – aufdecken könnte und auch gegen bundesstaatliche Telekommunikations- und Abhörgesetze verstoßen könnte.

Eine Bürgerrechtsgruppe, die Electronic Frontier Foundation, hat ihre Bedenken bei der Federal Communications Commission geäußert und erwägt formelle rechtliche Schritte, um Verizon zu blockieren. Das Programm von AT&T ist nicht so weit fortgeschritten und befindet sich nach Angaben des Unternehmens noch in der Erprobung.

Laut Datenschutzbefürwortern steht der Einsatz besonders hoch, da Verizons Experimente mit Supercookies mit ziemlicher Sicherheit Nachahmer anspornen werden, die um einen größeren Anteil der milliardenschweren Werbegewinne von Google, Facebook und anderen konkurrieren möchten.

Diese Unternehmen verfolgen ihre Nutzer und verkaufen gezielte Werbung basierend auf ihren Erkenntnissen. Supercookies könnten es Mobilfunkanbietern und anderen Internetanbietern ermöglichen, dasselbe zu tun und normale Benutzer möglicherweise in ein weitaus umfangreicheres Tracking-Web einzuschließen, als es heute der Fall ist.



„Sie machen es Menschen, die Privatsphäre wünschen, sehr schwer, sie im Internet zu finden“, sagte Paul Ohm, ein ehemaliger Beamter der Federal Trade Commission, der an der Law School der University of Colorado lehrt.

Verizon begann im November 2012 mit der Verfolgung seiner 106 Millionen 'Einzelhandelskunden', d. h. derjenigen, die keine Geschäfts- oder Regierungsverträge haben. Das Unternehmen schloss alle staatlichen und einige Geschäftskunden aus, wollte jedoch nicht sagen, wie viele. Verizon sagte, es habe Benachrichtigungen an Kunden gesendet und ihnen eine Möglichkeit geboten, sich vom Programm abzumelden, aber es lehnte ab, zu sagen, wie viele dies taten.

Datenschutzanwälte, die normalerweise Systeme bevorzugen, an denen sich Kunden durch Opt-In beteiligen müssen, haben lange behauptet, dass solche Unternehmensmitteilungen unwirksam sind; die wenigen, die sie lesen, haben Mühe, ihre Vorlieben auszudrücken. Selbst diejenigen, die sich vom Verizon-Programm abgemeldet haben, haben immer noch einen eindeutigen Identifizierungscode, der mit ihrem gesamten Webverkehr verbunden ist, sagte das Unternehmen, aber diese Informationen werden nicht verwendet, um Verhaltensprofile zu erstellen, die an Werbetreibende verkauft werden.

Eine Unternehmenssprecherin, Adria Tomaszewski, sagte, dass der Supercookie – eine einzigartige Kombination aus Buchstaben und Zahlen – regelmäßig geändert wird, um zu verhindern, dass andere Verizon-Kunden verfolgen, aber sie lehnte es ab, zu sagen, wie oft. Tomaszewski sagte auch, dass diejenigen, die nicht Teil des Verizon-Werbeprogramms Precision Market Insights sind, den Supercookie nicht verwenden können, um Verizon-Kunden zu verfolgen.

„So wie es gebaut ist, wäre es dafür nicht geeignet“, sagte Tomaszewski.

Unabhängige Forscher bestreiten diese Behauptung. Eindeutige Codes – wie Geräte-ID-Nummern, Internetprotokolladressen und Cookies – werden von Websites, Werbetreibenden und Datenvermittlern geteilt, sodass sie alle so viele Informationen über einzelne Benutzer sammeln können, dass es leicht ist, einen Namen oder andere identifizierende Daten abzuleiten, Experten sagen. Der Vorgang wird als „De-Anonymisierung“ eines Benutzers bezeichnet.

Ein Sicherheitsforscher, Jonathan Mayer von Stanford, sagte: „Ich kenne keinen Informatiker, der das Argument ‚Es ist anonym‘ ernst nimmt. Es wurde in vielerlei Hinsicht so gründlich entlarvt.“

Kritiker sagen auch, dass die Supercookies, insbesondere wenn sie weiter verbreitet werden, für Geheimdienste, die das Internetverhalten überwachen, äußerst wertvoll sein werden. Die National Security Agency hat Cookies – einen älteren und leichter zu löschenden Tracking-Code, der in einem Browser gespeichert wird – verwendet, um Internetnutzer weltweit auf Hackerangriffe zu lokalisieren, berichtete die Washington Post letztes Jahr.

AT&T lehnte es ab zu sagen, wie lange es das Internetverhalten seiner Kunden verfolgt, sagte jedoch, dass das Programm noch in der Testphase sei und noch nicht für gezielte Werbung verwendet wurde. „Wir erwägen ein solches Programm, und jedes Programm, das wir anbieten würden, würde unsere grundlegende Verpflichtung zum Schutz der Kundendaten beibehalten“, sagte Sprecherin Emily J. Edmonds in einer E-Mail.

Der Supercookie von AT&T ändert sich alle 24 Stunden, um die Privatsphäre zu schützen, sagte Edmonds.

Das Programm von AT&T würde im Gegensatz zu dem von Verizon keinen Identifizierungscode an den Internetverkehr seiner Kunden anhängen, sobald sie sich abmelden.

In den Tagen nach der Electronic Frontier Foundation mit Sitz in San Francisco gab es Überraschung unter Sicherheitsforschern und Datenschutzaktivisten. zuerst getwittert über die Praxis am 22. Oktober, nannte sie 'schrecklich' und zitierte einen Artikel in Advertising Age vom Mai. Inzwischen haben mehrere Nachrichtenagenturen über die Nachricht berichtet.

Jacob Hoffman-Andrews, ein leitender Technologe der Stiftung, sagte, er sei überrascht von der Intensität der Reaktion, die durch den Tweet ausgelöst wurde, der von seinem Konto gesendet wurde. „Alle sagten: ‚Wow, das ist wirklich entsetzlich‘“, sagte er.

Die potenziellen rechtlichen Probleme ergeben sich laut Experten teilweise aus dem Communications Act, der es Netzbetreibern verbietet, identifizierende Informationen über ihre Kunden preiszugeben oder anderen dabei zu helfen. Dies ist der Kern der Beschwerden der Stiftung, die eine Klage oder eine andere Maßnahme erwägt, um Verizon zu stoppen, sagte einer der Anwälte der Gruppe, Nate Cardozo.

Potentiell strittig ist auch das Bundesabhörgesetz, das es verbietet, persönliche Mitteilungen während der Übertragung ohne Zustimmung oder gerichtlichen Beschluss zu ändern. Ohm, der Rechtsprofessor, sagte, die Unternehmen könnten angreifbar sein, wenn ein Gericht feststellte, dass die Benachrichtigungsbemühungen von Verizon und AT&T nicht angemessen waren. Beamte beider Unternehmen teilten 2008 einem Senatsausschuss mit, dass sie nicht mit der Verfolgung ihrer Kunden beginnen würden, ohne zuvor eine ausdrückliche Erlaubnis einzuholen.

Datenschutzbefürworter sagen, dass die Umstellung auf Supercookies ohne rechtliche Schritte, vor Gericht oder durch eine Aufsichtsbehörde wie die FCC oder FTC, unmöglich sein wird. Nur eine Verschlüsselung kann verhindern, dass ein Supercookie einen Benutzer verfolgt.Andere neue Tracking-Technologien werden wahrscheinlich bald kommen, sagen Befürworter.

'Es gibt einen Ansturm der Kabelgesellschaften und Mobilfunkanbieter, um die Datensammlung auszuweiten', sagte Jeffrey Chester, Executive Director des Center for Digital Democracy, einer in Washington ansässigen Interessenvertretung. 'Sie alle wollen Google übertrumpfen.'