Category Archives: cookie

DNS LINKEDIN GEKAAPT

De DNS-gevevens van LinkedIn waren vandaag aangepast door nog onbekende redenen, waardoor de gebruikers LinkedIn niet meer konden bezoeken. Echter is dit niet het enige probleem. Wie Linkedin.com in de adresbalk van zijn browser intikt, wordt vervolgens naar de LinkedIn website gestuurd. Maar door de aangepaste DNS-instellingen van LinkedIn werd de gebruiker naar een andere server van een andere partij doorgestuurd.

De aanvaller was waarschijnlijk op de sessioncookies van gebruikers uit. De sessioncookie bevat data die je meestuurt als je inlogt op een website. Hiermee kan een kwaadwillige inloggen op het LinkedIn account van die persoon.

LinkedIn zegt nu bezig te zijn met het verhelpen van deze aanval.

Overheidscookies

Op 5 juni werd de nieuwe Telecomwet ingevoerd. Sindsdien moeten sites toestemming vragen om cookies te mogen gebruiken – kleine bestanden die internetinstellingen opslaan op de computer van de bezoeker. Deze plicht geldt niet voor de zogenaamde functionele cookies die er voor zorgen dat de websie werkt of dat er onthouden wordt wat er in een online winkelwagentje zit voordat er afgerekend wordt. De noodzaak om toestemming te vragen, geldt voor cookies “die gebruikt worden voor het opstellen van bezoekersprofielen en het volgen van surf- en zoekgedrag. Al deze persoonlijke gegevens kunnen, al dan niet tegen betaling, gedeeld worden met commerciële partijen en advertentienetwerken.”

Omdat het gebruik van cookies de verwerking van persoonsgegevens behelst, is ook de Wet bescherming persoonsgegevens van toepassing. “Op grond van deze wet moet degene die persoonsgegevens verwerkt voor die verwerking in de regel zogenoemde ondubbelzinnige toestemming hebben.” Vanf 1 januari 2013 “geldt hierbij voor cookies die surfgedrag volgen een rechtsvermoeden: de wet gaat er dan vanuit dat wie een cookie plaatst om surfgedrag te volgen, dat doet om persoonsgegevens te verwerken. Dit betekent dat voor cookies die surfgedrag volgen in de regel ondubbelzinnige toestemming vereist is, tenzij de plaatser van de cookies kan bewijzen dat hij geen persoonsgegevens verwerkt.”

Tot zo ver de wet. Uit een externe check blijkt dat 588 van de 925 gecontroleerde overheidssites ongevraagd gebruik maken “van technologieën die informatie over bezoekers doorsturen naar derde partijen. Populair is het gebruik van Google Analytics dat gedetailleerde inzage in bezoek geeft. Veel ambassades blijken dat te gebruiken.”

Het feit dat zo veel overheidssites de wet overtreden, is des te opzienbarender omdat controlewaakhond OPTA de overheid  juist had opgeroepen om meteen aan de wet te voldoen om zo andere sites te tonen hoe het moet.

Nu.nl geeft een voorbeeld waarom de overtreding van de overheid zo gevaarlijk is: “De website van de kinderbescherming plaatst een cookie op de computer van de bezoeker. Hierdoor loopt een kind het risico dat ouders sporen van het bezoek op de pc vinden.” Andere gevaren zijn dat de sessie overgenomen kan worden en dat er een mogelijkheid is tot het verspreiden van malware.

Het kan ook anders. De sites van Sunweb leven de wetten nauwgezet na. Dit blijkt voor Sunweb nauwelijks gevolgen voor de omzet te hebben. Emerce legt uit wat wel veranderd is: “de bounce rate daalt met een kwart, het conversiepercentage en de time on site gaan omhoog en het aantal pagina’s per bezoek is ook toegenomen.  Sunweb kan dat vertalen met: de kwaliteit en koopbereidheid van de bezoeker is omhoog gegaan. Toevallige passanten zonder enige intentie tot oriëntatie of aankoop schrikken van de verplichte cookiekeuze en vertrekken direct.” Van de mensen die blijven en een cookiekeuze maken, kiest 99% voor het hoogste opt-in niveau. Sabine de Vos, webanalist van Sunweb, probeert dit te begrijpen: “De grootste learning is dat de consument totaal geen idee heeft wat cookies nu zijn en doen, of maakt hen niet uit.”

Zouden alle overheidssites derhalve willen ophouden met het dwangmatig ongevraagd verzamelen van gegevens? Die komen wij burgers namelijk graag zelf brengen.