Finn, Dagens Næringsliv, og Scandic Hotels er blant 27 norske nettsteder som bruker en metode som kan svekke sikkerhet og personvern til nettbrukere.
En studie viser at en omstridt metode for å spore nettbrukere blir stadig mer populær. Én av ti blant de 10.000 mest populære nettsidene i verden bruker nå teknikken kalt «CNAME-tracking».
– Denne teknikken er farlig. Den skader nettsikkerhet og personvern, skriver sikkerhetsforsker Lukasz Olejnik på bloggen sin.
Funnene er del av et større arbeid Olejnik har gjort sammen med forskere fra det nederlandske universitetet KU Leuven. De har foreløpig ikke publisert hele datasettet, men de har delt en analyse gjort oktober 2020 med NRKbeta. Den viste at 27 norske nettsider da brukte teknikken.
NRKbeta gjorde i vår tekniske undersøkelser som bekreftet at Finn, Dagens Næringsliv (DN), og Scandic Hotels benytter metoden kalt «CNAME-tracking».
Omgår sporingsbeskyttelse
CNAME-tracking er kontroversielt fordi det visker ut skillet mellom nettsiden du besøker, gjerne kalt en førstepart, og alle andre. De kalles gjerne tredjeparter.
For når du besøker en nettside kan mange selskaper komme i kontakt med nettleseren din. Det kan være analysetjenester som Google Analytics eller Facebook via et innbakt element.
Nettlesere som Firefox og Safari har i nyere tid blitt strengere med hvilke tredjeparter som får lov å snakke med nettleseren. Mange har også installert nettlesertilleggene Ublock Origin og Privacy Badger som setter lignende begrensninger.
«CNAME-tracking» kan omgå noen av disse sperrene ved at en tredjepart kan fremstå som en førstepart.
DN, Schibsted, og Scandic Hotels har alle samarbeid med Adobe og de oppgir å ha avtaler som begrenser hvordan Adobe kan bruke informasjonen som blir tilgjengeliggjort. Adobe får blant annet ikke lov til å bruke informasjonen til egne formål eller dele den videre med andre. Selskapene mener disse tiltakene sikrer brukernes personvern.
– Adobe CNAME brukes aldri til å spore en person eller enhet på tvers av domener som eies av forskjellige Adobe-kunder, forklarer Frank Jansen som leder innsiktsarbeidet i DN.
DN bruker Adobes tjeneste til analyse og markedsføring. Schibsted opplyser at de kun bruker Adobe til å analysere bruksmønstre på den digitale markedsplassen Finn, noe de ikke har egenutviklede verktøy for.
– Det vi er ute etter og ser på er mønstre for store brukergrupper. Vi bruker altså ikke teknologien for å analysere enkeltbrukere, men for å måle hvor gode produktene våre er, sier direktør for personvern Ingvild Næss i Schibsted, om samarbeidet med Adobe.
Brukernes sikkerhet og personvern har høy prioritet hos oss, oppgir kommunikasjonssjef Lars Vestad i Scandic Hotels.
– Vi forventer at Adobe forholder seg til avtalen de har med oss og følger gjeldende lover og regler, sier Vestad.
Sikkerhetsutfordringer
Forskergruppen fant tilfeller der CNAME-teknikken delte brukerens påloggingscookie med samarbeidspartneren, noe som kan svekke brukerens nettsikkerhet. Slike cookies, også kalt informasjonskapsler, er ofte alt man trenger for å logge seg inn som brukeren.
– Vi har sett på de potensielle sikkerhetsutfordringene som den upubliserte rapporten påstår at metoden kan medføre, men så langt har verken Adobe eller vi funnet at disse er gyldige for vår bruk, sier Jansen i DN.
Som følge av NRKs henvendelse startet DN sin egen undersøkelse. Der fant de ut at Adobe fikk tilsendt noe mer informasjon «enn strengt tatt nødvendig». Det har DN allerede gjort noe med, opplyser Jansen.
– På generelt grunnlag ser vi at teknologi kan misbrukes, sier Næss, som er åpen om at en rekke leverandører på markedet ikke oppfyller deres krav til personvern og sikkerhet.
– Derfor er det også avgjørende for oss i Schibsted å ha på plass omfattende vurderinger og tiltak, herunder inngå avtaler i tråd med lovverket, som beskrevet over. Det er vår fremste prioritet å sørge for at personvernet og sikkerheten til våre brukere er godt ivaretatt.
Oppdatert 21.april 17.50: I en tidligere versjon stod det at studien enda ikke var fagfellevurdert. Det stemmer ikke og artikkelen er nå oppdatert.