Supercookie: US-Provider Verizon verkauft Daten über seine Kunden
Der Mobilfunk-Provider Verizon versieht alle Web-Zugriffe seiner Kunden mit einem kundenspezifischen Supercookie. Werbenetzwerke können darüber dann weitere Informationen zu einem Web-Seitenbesucher abfragen -- gegen Gebühr natürlich.
Mehrere Forscher haben entdeckt, dass der US-Mobilfunk-Provider Verizon offenbar in alle Web-Anfragen einen zusätzlichen Header mit einer speziellen ID einschleust, um im Onlineanzeigenmarkt mitzumischen. Der Header trägt den Namen UID-Header oder kurz UIDH und hat die Form
X-UIDH: OTgxNTk2NDk0ADJVquRu5NS5+rSbBANlrp+13QL7CXLGsFHpMi4LsUHw
(Bild: Verizon)
Der UIDH identifiziert einen Verizon-Kunden über einen gewissen Zeitraum hinweg eindeutig. Kommt ein solcher UIDH bei einem Webseitenbetreiber und über den bei einem Anzeigennetzwerk an, kann dieser bei Verizon dann weitere Informationen zu diesem Verizon-Kunden abfragen – natürlich kostenpflichtig.
Das geschieht auch keineswegs heimlich, sondern in aller Offenheit. Verizon bewirbt das gegenüber Anzeigenvermarktern als Precison Market Insights. Dabei geht es darum, Anzeigennetzen Informationen zu liefern, um Werbung auf Mobilgeräten möglichst zielgerichtet auszuliefern. "Precision ist der Schlüssel dazu, den Identifier mit Daten anzureichern", heißt es auf der zugehörigen Web-Seite. Das sind dann Informationen zum Wohnort, Geschlecht, Altersgruppe, Interessengebieten und so weiter; zumindest Namen oder konkrete Informationen zur Identität des Nutzers will er jedoch nicht liefern.
Da dieser Header in alle Web-Seitenaufrufe eingebettet wird, kann ein Nutzer damit über Webseitengrenzen hinweg im Internet verfolgt werden. Dazu braucht man im Prinzip nicht einmal Verizon, denn auswerten kann dieses Supercookie jeder Webseitenbetreiber – und natürlich auch jeder, der den Netzwerkverkehr unterwegs analysiert. Im Prinzip muss man nur einen einzigen Zugriff mit einer Person verknüpfen können, um dann den Anwender auf beliebigen Web-Seiten zu identifizieren. Das funktioniert dank des vom Provider eingebauten Tracking-Headers sogar dann, wenn er Dienste im Web im anonymen Modus des Browsers oder mit einer App nutzt.
Verizon dokumentiert in seinen FAQs zum Relevant Mobile Advertising zwar einen Opt-out für seine Kunden. Doch der führt offenbar nur dazu, dass Verizon im Rahmen von Precision Market Insights keine Daten mehr zu der jeweiligen UIDH rausgibt; eine Option das Einschleusen des Tracking-Headers ganz abzuschalten, gibt es nach unserem bisherigem Kenntnisstand nicht. "Relevant Mobile Advertising" ist übrigens der Name, unter dem Verizon seinen Mobilfunkkunden das Precision Market Insights schmackhaft zu machen sucht.
Update 28.10.2014, 15:30: Möglichkeiten zum Tracking ohne Verizon weiter ausgeführt, (ju)
