Hoe adtrackers je logingegevens kunnen “stelen”

Adtrackers en zogenaamde AdOps zijn al jaren het wilde westen op het internet. Deze bedrijven zorgden voor super targeted ads (waarbij op een fractie van een seconde de juiste advertentie voor jouw online profiel wordt gekozen via Real Time bidding of ook wel RTB).

Afgelopen week is er nu veel heisa over, daar er nu een studie is verschenen hoe enkele van die trackingscripts een lang gekende browserbug gebruiken om jouw profielgegevens uit websites te slurpen.

Hoe werkt het?

  1. Jij maakt een profiel aan op een krantenwebsite of ecommerce webshop
  2. Je geeft de paswoordmanager van je browser de toestemming om username, paswoord, invulvelden op te slaan.
  3. Wanneer je nu op de website surft en een (externe) tracker staat op de website, dan kan die tracker via Javascript een verborgen formulier plaatsen, waarna je browser dit automatisch gaat invullen (je hebt die daar dan ook toestemming voor gegeven).
  4. Met alle onderschepte gegevens kan de tracker je onlineprofiel verder aanscherpen (en monetizen in het geval van bijvoorbeeld onAudience)

Ik ben zelf ook maar eens even kort naar de code van die onAudience tracker gaan zien en daar zie je dat ze inderdaad je emailadres via md5 hash doorsturen (dus niet in plaintext).

Je emailadres wordt dus een pseudoanonieme letterreeks (md5@dailybits.be = 7a463ee383288cd1dff1235a7812433e), maar die blijven nog steeds persoonsgegevens onderhevig aan de aankomende GDPR wetgeving. Vele websiteeigenaars gaan niet weten dat een bepaalde tracker op hun platform dit allemaal uitsteekt, maar het is net dat wat je zal moeten gaan uitvissen en in kaart brengen.

Een grote GDPR tip dus:
Breng ook alle externe scripts/trackers op je website in kaart of ze geen persoonsgegevens gaan tracken/stelen. Hallo krantenwebsites, Sporza en andere grote publishers…

Hoe kan je je hiertegen beschermen?

Zelf ben ik al lange tijd een gebruiker van de browser addon Ghostery, waardoor ik meer inzichten krijg in welke trackers er op een website worden gelanceerd. Blokkeren van trackers doe ik niet zoveel (daar ik juist wil zien wat sommige uitsteken of hoe hatelijk online reclame kan zijn 😉 ).


(Al toont deze niet alle trackers, daar ik zelf nog een eigen marketing automation Mautic platform heb lopen bijvoorbeeld op de eigen webserver.)

Iets wat ik trouwens ook kan aanraden is om eerder een echte paswoordmanager (zoals 1Password) te gaan gebruiken ipv. die van je browser. Iets wat ik zelf wel heb gedaan is het default invullen van username/paswoord/ formvelden in Chrome afgezet.

https://twitter.com/ericlaw/status/947487827155128320

Ook in Firefox kan je dit eenvoudig.

Gerelateerde berichten

Herman Maes - online marketeer seo freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer (SEO en Digital marketing) met Dailybits als SEO/Hubspot/Marketing Technology Teamlead/GDPR expert en daarnaast ook gewoon papa thuis.

Schrijf je in op de maandelijkse Dailybits mailing met een behind-the-scene blik.

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe jouw reactie gegevens worden verwerkt.