O que são supercookies e por que eles são perigosos?

A Verizon foi multada por rastrear clientes com um cabeçalho de identificador exclusivo (UIDH), também conhecido como supercookie. Mas o que é um supercookie? E por que é pior do que um biscoito normal?

A Verizon foi multada por rastrear clientes com um cabeçalho de identificador exclusivo (UIDH), também conhecido como supercookie.  Mas o que é um supercookie?  E por que é pior do que um biscoito normal?
Propaganda

Em março de 2016, a Verizon recebeu multa de US $ 1, 35 milhão por rastrear clientes com um cabeçalho de identificador exclusivo (UIDH). Duas maneiras de seu ISP espionar você e como ser seguro [10 x VPN total do SurfEasy + BlackBerry Z10 Giveaway] Duas maneiras ISP está espionando em você e como ser seguro [10 x VPN total SurfEasy + BlackBerry Z10 Giveaway] É uma má hora para ser um cliente da Verizon. Leia mais, também conhecido como "supercookie". Foi uma grande novidade quando a Verizon foi obrigada a divulgar esse rastreamento e permitir que os clientes optassem por sair dele. Mas o que é um supercookie? E por que é tão pior do que um biscoito normal? Aqui está o que você precisa saber.

Biscoitos e Supercookies

Para entender supercookies, é importante que você saiba o que são cookies comuns. Um cookie HTTP O que é um cookie e o que ele tem a ver com minha privacidade? [MakeUseOf explica] O que é um cookie e o que ele tem a ver com minha privacidade? [MakeUseOf Explains] A maioria das pessoas sabe que existem cookies espalhados por toda a Internet, prontos e dispostos a serem consumidos por quem os encontrar primeiro. Espere o que? Isso não pode estar certo. Sim, existem cookies ... Leia Mais, normalmente conhecido apenas como um cookie, é um pequeno pedaço de código que é baixado para o navegador de um usuário quando ele visita um site. O cookie armazena pequenas informações que podem ser úteis para o site, o usuário e as interações entre os dois.

Por exemplo, quando você coloca alguns itens em seu carrinho de compras na Amazon, esses itens são armazenados em um cookie, para que você possa sair da Amazon e voltar sem esvaziar seu carrinho. O cookie envia essas informações de volta para a Amazon quando você retorna ao site.

interação cookie

Os cookies podem servir outras funções também, como dizer a um site que você já está logado, para que você não precise fazer login novamente quando retornar. De maneira mais controversa, os cookies de rastreamento de terceiros acompanham os usuários pela Internet e reportam-se ao marketing e a outras empresas informando onde estiveram on-line.

Um supercookie é um tipo de cookie de rastreamento, mas é muito mais pernicioso.

Cookies não versáteis

Se você não quiser que os cookies o rastreiem na Web, você pode simplesmente limpar os dados de navegação. Como limpar o histórico do seu navegador de forma manual e automática Como limpar manualmente e manualmente o histórico do navegador Os sites visitados deixam faixas no seu computador. Mostramos a você como excluir seu histórico de navegação no Firefox, Chrome, Edge e Internet Explorer. Consulte Mais informação . Isso elimina todos os cookies que estão armazenados no seu computador, o que significa que você precisará colocar seus itens de volta no seu carrinho e fazer login nos seus sites novamente. Mas isso também significa que os cookies de rastreamento não farão mais rastreamento.

Um supercookie é diferente - limpar seus dados de navegação não ajudará. Isso ocorre porque um supercookie não é realmente um cookie; não está armazenado no seu navegador.

bolinho gigante

Em vez disso, uma informação exclusiva da conexão de um usuário é inserida no cabeçalho HTTP por um provedor de serviços de Internet (ISP). Essas informações identificam de forma exclusiva um dispositivo que a impressão digital de canvas rastreará em qualquer lugar. Aqui está porque você deve estar preocupado impressões digitais de lona irá acompanhá-lo em toda parte você vai. Veja por que você deve estar preocupado Leia mais ou, no caso da Verizon, um plano de dados, para o site que está sendo visitado.

Como essa informação é injetada entre o dispositivo e o servidor ao qual está se conectando, não há nada que um usuário possa fazer a respeito. Não pode ser excluído, porque não está armazenado no dispositivo. O software de bloqueio de anúncios não pode fazer nada a respeito, porque acontece depois que a solicitação sai do dispositivo.

Os perigos dos supercoques

O potencial de violação de privacidade aqui deve ser óbvio - na maioria dos casos, os cookies estão vinculados a um único site e não podem ser compartilhados com outro site. O UIDH pode ser revelado em qualquer site e contém uma quantidade potencialmente grande de informações sobre os hábitos e histórico do usuário. E sabemos que a Verizon estava anunciando essa capacidade para seus parceiros, portanto, é provável que esse uso específico de supercookies tivesse a intenção de coletar muitos dados para fins de venda.

A Electronic Frontier Foundation (EFF) também observa que um supercookie pode ser usado pelos anunciantes para ressuscitar os cookies excluídos do dispositivo de um usuário e vinculá-los a novos, contornando as estratégias que os usuários podem adotar para impedir o rastreamento:

[S] uppose uma rede de anúncios lhe atribuiu um cookie com o valor exclusivo "cookie1" e a Verizon lhe atribuiu o cabeçalho X-UIDH "old_uid". Quando a Verizon altera seu cabeçalho X-UIDH para um novo valor, diga "new_uid" a rede de anunciantes pode conectar "new_uid" e "old_uid" ao mesmo valor de cookie "cookie1" e verificar se todos os três valores representam a mesma pessoa. Da mesma forma, se você limpar os cookies posteriormente, a rede de anúncios atribuirá um novo valor de cookie "cookie2". Como seu valor de X-UIDH é o mesmo (digamos, "novo_uid") antes e depois de limpar os cookies, a rede de anúncios pode se conectar "cookie1 ”E“ cookie2 ”para o mesmo valor X-UIDH“ new_uid ”. O bootstrapping de identidade faz com que seja impossível realmente limpar seu histórico de rastreamento enquanto o cabeçalho X-UIDH está ativado.

Na mesma postagem do blog, a EFF observou que um UIDH também pode ser aplicado a dados enviados de aplicativos, o que não é fácil rastrear de outra forma, e fornece uma imagem ainda mais detalhada do uso da Internet do usuário. A Verizon também ignora o “Limitar o rastreamento de anúncios Configurações de privacidade do smartphone que você precisa ativar hoje Configurações de privacidade do smartphone que você precisa ativar hoje Os smartphones são fornecidos com muitas configurações padrão que podem estar vazando suas informações. Vamos mergulhar e ajustá-los. Leia mais ”em iOS e Android, compondo as possíveis violações de privacidade perpetradas por supercookies em um navegador.

Um supercookie inclui informações sobre a solicitação feita por um usuário, como o website que ele está tentando visitar e a hora em que a solicitação foi feita. Isso é conhecido como metadados (e é muito semelhante aos metadados coletados pela NSA. O que as agências de segurança do governo podem dizer dos metadados do seu telefone? Leia mais dos registros de telefones celulares). Mas os supercookies também podem incluir outros tipos de dados.

Independentemente do tipo de dados que eles contêm, no entanto, se a Verizon sofresse uma violação de dados e esses cookies estivessem atrelados a usuários específicos, isso seria um enorme desastre de privacidade, já que a EFF afirmou que os números de telefone combinados Hash Stuff Actually Significa [Tecnologia Explicada] Aqui está um resumo completo do MD5, hashing e uma pequena visão geral de computadores e criptografia. Leia mais (que realmente não são muito seguros) estavam sendo usados ​​para identificar usuários. Hackers, outras empresas ou organizações governamentais ficariam muito felizes em obter essas informações.

O fato de a Verizon ser uma das empresas participantes do programa PRISM da NSA, o que é PRISM? Tudo que você precisa saber O que é PRISM? Tudo que você precisa saber A Agência de Segurança Nacional dos EUA tem acesso a todos os dados que você armazena com provedores de serviços dos EUA, como Google Microsoft, Yahoo e Facebook. Eles também estão provavelmente monitorando a maior parte do tráfego que flui através do ... Leia mais só torna isso mais preocupante.

O que você pode fazer sobre supercookies?

Por isso, os supercookies armazenam muitas informações sobre você, ressuscitam cookies normais excluídos e não são armazenados no seu dispositivo. O que você pode fazer sobre eles?

Infelizmente, a resposta é "não muito". A Verizon agora permite que os assinantes optem por não usar o rastreamento UIDH, o que é uma grande melhoria em relação ao sigilo que eles mantinham em torno desse tipo de rastreamento no passado. Para desativar esse programa, acesse www.vzw.com/myprivacy, faça login em sua conta e acesse a seção Publicidade relevante para celular. Selecione "Não, não quero participar de publicidade relevante para celular".

endereço-barra-https

Se você não é um cliente da Verizon, está muito sem sorte. Se outra pessoa estiver rastreando você com um supercookie e você não souber, a melhor opção é usar uma conexão criptografada via HTTPS. O que é HTTPS e como ativar conexões seguras por padrão O que é HTTPS e como ativar conexões seguras por As preocupações de segurança padrão estão se espalhando por toda parte e atingiram a vanguarda da mente de quase todos. Termos como antivírus ou firewall não são mais um vocabulário estranho e não são apenas entendidos, mas também usados ​​por ... Leia mais ou uma rede privada virtual (VPN) para mascarar seu tráfego. Esses dois métodos não são suscetíveis ao rastreamento de supercookies.

Além disso, você só precisa esperar que os nomes de outras empresas que usam essa tecnologia sejam revelados mais cedo ou mais tarde. Embora a Verizon seja atingida por uma multa (ainda que muito pequena), isso não parece provável em breve.

A próxima geração de rastreamento on-line

Como eles não são armazenados em seu computador, podem identificar exclusivamente seu tráfego na Web e são extremamente difíceis de detectar, os UIDHs são uma séria ameaça à privacidade em toda a web. O uso de HTTPS e VPN ajuda muito, mas o que realmente precisamos é de uma legislação que exija ISPs para permitir a desativação desses programas (e impor esses opt-outs). Vamos ficar de olho nessa ameaça muito interessante ao anonimato online e mantê-lo informado!

O que você acha do programa supercookie da Verizon? Você acha que outros provedores estão usando também? Isso sinaliza o fim da privacidade online? Compartilhe seus pensamentos abaixo!

Créditos da imagem: abertura de venezianas fechadas por ptnphoto via Shutterstock, Tizio via Wikimedia Commons, Michael Courtney via Shutterstock, ktsdesign via Shutterstock.

In this article