Svindelhjelp som sporer deg

i Teknologi og samfunn
Merket personvern sporing overvåkningskapitalisme svindel internett

Norske banker har gått sammen om kampanjen “No Way - Du lurer ikke meg” for å øke oppmerksomheten rundt de mange formene for svindelforsøk som florerer på nett og via telefon, sms og sosiale kanaler for tiden. Selv om jeg føler dette er en måte å dytte ansvaret over på forbrukerne, synes jeg likevel det er et godt tiltak. Slik verden er i dag er det desverre lett å bli utsatt for slike svindelforsøk, og å forsøke å øke bevisstheten rundt det er positivt. Uten at det fritar hverken banker eller tjenestetilbydere fra hovedansvaret for å forhindre at slik svindel lykkes.

Det er likevel ikke det dette innlegget skal handle om. For når jeg går inn på selvforsvarssidene til kampanjen blir jeg nemlig møtt av de sedvanlige merknadene om at lugubre sporingselementer har blitt blokkert i nettleseren min. Og det synes jeg det er verdt å skrive noen ord om.

Firefox har blokket sporingskode på svindel.no.

Problemet

Vi bør kunne forvente at vi kan besøke en nettside uten å bli overvåket. At denne overvåkningen foregår uten at den er synlig for de fleste, gjør det hele enda værre. For å i det heletatt vite at en side tyster på deg, må man ha en viss teknisk innsikt, og ha programvare som enten gjør den synlig, eller blokkerer den, installert.

Det er det ikke alle som har, og vi kan heller ikke forvente at alle har kunnskapen som skal til for å gjøre det. Vi kan kort sagt ikke gjøre det til forbrukernes ansvar å beskytte seg, på samme måte som vi ikke kan gi ofrene for svindel ansvaret for at svindelen skjedde.

Det er heller ikke slik at det ikke er mulig å lage nettsider som ikke spionerer på besøkende. Selskapene bak spionasjen hevder ofte at dette er en iboende egenskap ved teknologien. Det er ren løgn!

Videre kan det være vanskelig, eller i mange tilfelle umulig, selv for de med kunnskap om sporingen å vite med sikkerhet hvem som mottar informasjonen, hvilken informasjon de faktisk får, og hva de kommer til å bruke den til.

Når jeg sjekket svindel.no (30. juni, 2024) så inneholdt den sporingselementer fra Alphabet (via Google), Delta Projects AB, Meta (via Facebook), Microsoft, Siteimprove A/S, Snap Inc, Usercentrics GmbH og flere. Det vil si at alle disse selskapene får informasjon om at du besøker siden. Men det er slett ikke sikkert det begrenser seg kun til disse.

Det er heller ikke slik at disse selskapene nøyer seg med å spore deg på på denne nettsiden. De sammenfatter informasjon om deg på tvers av de nettsidene du er innom, apper du bruker på mobil og nettbrett og opplysninger fra kortselskaper om hvilke butikker du handler på – både fysisk og på nett.

Selv om noen av disse selskapene er vel kjente for de fleste, vil jeg tro at andre ikke er det – men informasjon om ditt besøk får de like fullt.

Som besøkende til en side som skal informere oss om forskjellige former for svindel, er det imidlertid rimelig å forvente å kunne besøke siden uten at tvilsomme selskaper skal kunne se deg over skulderen.

Strengt tatt burde vi kunne forvente det uavhengig av hva sidene handler om!

Hva kan vi gjøre?

Som forbruker har vi i dag veldig liten mulighet til å gjøre noe med sporingen vi utsettes for på nettet, annet enn å bruke nettlesere og utvidelser som beskytter mot i hvertfall deler av den.

Men jeg mener det ikke er nok!

Personvernforordningen (GDPR) ble innført i norsk lov for ganske nøyaktig seks år siden. Siden har det skjedd skremmende lite, bortsett fra at nettsider verden over har begynt å sprette opp plagsomme dialoger hvor man må godta sporing for å komme videre til selve sidene. Mange som slett ikke er lovlige.

Å vente på at Datatilsynet skal ta tak i disse sakene tar for lang tid. Det er ikke nødvendigvis deres feil, det er mye å ta tak i, og ressurssene er begrenset.

Det er med andre ord på tide vi selv begynner å gjøre aktiv motstand. Det må bli såpass plagsomt å inkludere sporingselementer på sidene sine at det ikke lønner seg. Vi må gjøre det sosialt uakseptabelt, og sørge for at det gir kostbart merarbeid for de som gjør det.

Hvordan gjør vi så det?

Jeg har ikke alle svarene, men noen idéer kan være:

  1. Tips datatilsynet. Selv om de har begrenset med ressursser, vil det å tipse dem gi de en bedre oversikt over omfanget, og kanskje få myndighetene til å innse at de trenger mer ressursser for å kunne ta tak i problemet på en måte som monner.

  2. Be om innsyn. Ta kontakt med nettsidenes eiere og be om både grunnlag og hvilke opplysninger de har om deg. Be også om en detaljert oversikt over hvem andre de deler opplysninger med, herunder hvilke sporingselementer de har installert på sine nettsider og apper, og hvem som mottar informasjon fra disse. Dette er nok noe av det som kan ramme mest effektivt fra et grasrotståsted. Det er noe som vil kreve direkte resursser fra sidens eiere.

  3. Spre ordet og skap negativ publisitet. Skriv bloggposter, lag videoer, podcaster eller innlegg på den sosiale veven/fødiverset, osv.

  4. Hjelp venner og bekjente til å beskytte seg ved å bruke nettlesere og utvidelser som blokkerer sporing.

Dette er på ingen måte en uttømmende liste, men det vil ihvertfall være med på å gi noe av kostnaden med sporingen tilbake til selskapene som er med å fasilitere den.

Jeg håper flere vil bidra med idéer og inspill til hvordan vi kan skape en undergrunnsbevegelse for å bekjempe overvåkningen på nett!

Hvorfor?

Vi kan ikke lengre akseptere at selskaper vi knapt vet hvem er uhindret skal få samle informasjon om oss. Det er absolutt ingen grunn til at Facebook, Snapchat eller Delta Projects AB (hvem nå det er) skal vite at jeg besøker svindel.no. Og det er på tide at vi sier klart ifra at nok er nok!

Ved å gå til aksjon mot de som muligjør innsamlingen ved å legge til sporingselementer på sine nettsider, apper og lignende, kan vi ta problemet ved roten. Ingen innsamling, ingen data!

Sporing på nett er et samfunnsproblem. Informasjonen som samles om om deg, dine vaner, preferanser, økonomisk status og mer brukes for å manipulere deg. Det kan være gjennom tilpasset reklame, men også gjennom andre og mer suspekte metoder. Cambridga Analytica-skandalen fra noen år tilbake burde være en vekker som skremmer de fleste.

Illustrasjon fra Forbrukerrådets rapport “Out of Control.” © Copyright Forbrukerrådet.

De fleste som står bak denne sporingen på tvers av nettsider og apper, er selv lite villige til å dele informasjon om seg selv og hvordan de bruker informasjonen. Med andre ord, de vet mye om oss, men det er ofte vanskelig å vite noe om dem.

Selv om noen av oss vil være i stand til å blokkere deler av denne sporingen, så vil det fortsatt være vanskelig for den jevne forbruker. Det at sporingen foregår i det skjulte for de fleste er i seg selv en indikasjon på nivået av teknisk kompetanse som kreves for å avsløre den. Vi kan ikke la forbrukerne selv sitte med det ansvaret.

Vi trenger en strukturell endring i hva som er aksepabelt, og av hvordan myndighetene forholder seg til personvern på nett. Den type sporing som rutinemessig legges til alt fra offentlige til kommersielle nettsider i dag må bli forbudt. Stor deler av det er allerede det, men så lenge loven ikke håndheves får det ingen konsekvenser for de som bryter den.

Derfor er det på tide at vi som forbrukere tar saken i egne hender og sier et klart “nei” til sporing på nett og gjennom apper!

Analyse

Personverngrevlingen og uBlock Origin blokkerte sporingselementer på svindel.no.

Jeg ble først gjort oppmerksom på sporingen som finnes på svindel.no da jeg besøkte siden, og både Personverngrevlingen og uBlock Origin lyste opp med ikoner som fortalte de hadde blokkert sporingselementer på siden.

Videre sjekket jeg den innebygde sporingsbeskyttelsen i nettleseren min (Firefox), som også viste at sporingselementer hadde blitt blokkert. Jeg har satt Firefox til det strengeste nivået for sporingsbeskyttelse. Noe annet anser jeg som risikabelt, da det slipper igjennom for mye sporing.

Siden jeg blokkerer mange av sporingselementene før de aktiveres, kan det være at jeg ikke fanger opp alle sporingselementene som ville lastes på en nettleser uten beskyttelse.

Derfor konsulterte jeg også Blacklight, en tjeneste fra The Markup, som simulerer et besøk på siden uten noen ekstra beskyttelse. Mao, slik de aller fleste vil besøke siden i en virkelig nettleser. Resultatet fra denne analysen kan du se i skjermbilde nedenfor.

Blacklight har analysert siden og funnet opptil flere tvilsomme aktører med sporingselementer på den.

Du kan også laste ned et arkiv med detaljert informasjon fra analysen.

Oppdatering 3. Juli, 2024:

Etter at jeg publiserte dette innlegget ble jeg minnet på verktøyet webbkoll fra dataskydd.net. Var egentlig klar over at det fantes fra før, men glemte av det når jeg jobbet med dette innlegget. Men er det jo naturlig å sjekke sidene mot det verktøyet også.

Sammendrag av webbkoll sin analyse av nettsiden.

webbkoll rapporterer at siden lagret 9 nettkjeks (cookies) og gjorde 28 forespørsler til 14 nettsteder utenfor svindel.no for å laste siden. I tillegg mangler siden viktige sikkerhetsmekanismer, og kan derfor lekke informasjon om deg til disse andre sidene.

Webbkoll er litt mer teknisk orientert enn Blacklight. Den gir i utgangspunktet mer informasjon, men kanskje ikke like tilgjengelig for alle. En del av dette får man også fra Blacklight ved å laste ned arkivet med detaljert informasjon.

I tillegg til å sjekke rene personvernlekasjer, ser webbkoll også på hvordan forskjellige andre sikkerhetsinstillinger er satt opp for sidene. Det er relevant i tillegg til de faktiske sporingshendelsene fordi det sier noe om hva slags muligheter bl.a. script og andre elementer har til å hente informasjon om deg ut fra sidene.

I tillegg gir webbkoll detaljert informasjon om hvilke nettkjeks og annet som siden lagrer i nettleseren din, og gir også tips og lenker til informasjon om hvordan nettsideeier kan rette opp i svakhetene den finner.

Alt i alt er dette også et veldig godt verktøy, og jeg anbefaler alle som har en nettside til å teste siden sin både med webbkoll og Blacklight.

Videre lesing