Kaspersky maakte klant identificeerbaar op sites

Antivirus-producten plaatsten unieke gebruiker-id in html, waardoor sitebeheerders bezoekers kunnen volgen

Dit artikel delen:
HTML HTML5 developer ontwikkelaar

Beveiligingsspecialist Kaspersky heeft tot afgelopen juni unieke identificatiecodes gegeven aan computers waarop zijn antivirussoftware was geïnstalleerd. De codes werden toegevoegd aan de html van webpagina's die de computergebruiker bezocht. Hierdoor konden paginabeheerders bezoekers zonder toestemming identificeren, zelfs in incognito-modus. Dat schrijft de Duitse techsite c't.

De antivirussoftware voegde de identificatiecode telkens via javascript toe aan de html van webpagina's. De code is uniek voor elke computer en verandert niet als je een andere browser gebruikt. Als je meerdere websites van dezelfde eigenaar bezoekt, kan deze organisatie dit dus eenvoudig achterhalen en bijvoorbeeld misbruiken voor gepersonaliseerde meldingen. De code is daarmee vergelijkbaar met tracking cookies, waarvoor je als online bezoeker expliciet toestemming moet geven.

Een journalist van c't kwam er bij toeval achter toen hij het antivirusprogramma wilde testen voor een publicatie. Hij ontdekte de javascript en de onveranderlijke id-code die Kaspersky had toegevoegd aan de broncode van een website.

Ook kleinzakelijk

Na vergelijking met eerdere versies van de software blijkt dat de unieke id-code al sinds eind 2015 wordt toegevoegd aan de html van websites. In oktober van dat jaar verscheen de 2016-editie van de software.

Het zijn vooral de gratis en betaalde consumentenversies van Kaspersky's antivirussoftware die werkten met de unieke identificatiecode. Ook de versie voor kleinzakelijke gebruikers werkte ermee. Deze versie heet Kaspersky Small Office Security.

Gepatcht

In een bericht erkent Kaspersky dat het euvel kon worden misbruikt door onbevoegden. 'De aanvaller moet vanaf webservers een kwaadaardig script voorbereiden en uitvoeren om de gebruiker te kunnen volgen.'

De fabrikant heeft de betreffende software afgelopen juni gepatcht. In de meeste gevallen wordt de update automatisch uitgevoerd.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-08-16T15:46:00.000Z Diederik Toet
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.