עדכון, 23 ביולי 2014, 12:40 ET: לאחר פרסום מאמר זה, YouPorn פנה אלינו כדי לומר שהיא הסירה את טכנולוגיית AddThis מאתר האינטרנט שלה, ואמרה שהאתר "לא מודע לחלוטין לכך ש-AdThis מכילה תוכנת מעקב שיש לה פוטנציאל לסכן את פרטיות המשתמשים שלנו". דוברת של המשווקת הדיגיטלית הגרמנית Ligatus אמרה גם שהיא כבר לא מנהלת את מבחן טביעת האצבע על קנבס, ושאין לה תוכניות להשתמש בה בעתיד.

סוג חדש ומתמשך ביותר של מעקב מקוון מצל על מבקרים באלפי אתרים מובילים, מWhiteHouse.govאל YouPorn.com.

סוג המעקב, הנקרא טביעת אצבע על קנבס, פועל על ידי הוראה לדפדפן האינטרנט של המבקר לצייר תמונה נסתרת, ותועד לראשונה בתוכנית הקרובהנְיָרעל ידי חוקרים מאוניברסיטת פרינסטון ואוניברסיטת KU לובן בבלגיה. מכיוון שכל מחשב מצייר את התמונה בצורה מעט שונה, ניתן להשתמש בתמונות כדי להקצות לכל מכשיר של משתמש מספר שמזהה אותו באופן ייחודי.

כמו כלי מעקב אחרים, טביעות אצבע של קנבס משמשות לבניית פרופילים של משתמשים על סמך אתרי האינטרנט שבהם הם מבקרים - פרופילים שמעצבים אילו מודעות, מאמרי חדשות או סוגים אחרים של תוכן מוצגים בפניהם.

אבל קשה במיוחד לחסום טביעות אצבע: לא ניתן למנוע אותן על ידי שימוש בהגדרות פרטיות סטנדרטיות של דפדפן אינטרנט או שימוש בכלים נגד מעקב כגון AdBlock Plus.

החוקרים מצאו קוד מחשב עם טביעת אצבע על קנבס, שנכתב בעיקר על ידי חברה בשםAddThis, ב-5% מ-100,000 האתרים המובילים. רוב הקוד היה באתרים המשתמשים בכלי שיתוף המדיה החברתית של AddThis. טביעות אצבע נוספות כוללות את המשווק הדיגיטלי הגרמני Ligatus ואתר ההיכרויות הקנדי Plentyoffish. (רשימה של כל האתרים שבהם מצאו החוקרים את הקוד היאכָּאן).

ריץ' האריס, מנכ"ל AddThis, אמר שהחברה החלה לבדוק טביעות אצבע על קנבס מוקדם יותר השנה כדרך אפשרית להחליף "עוגיות", הדרך המסורתית שבה עוקבים אחר משתמשים, באמצעות קבצי טקסט המותקנים במחשביהם.

"אנחנו מחפשים אלטרנטיבה לעוגיות," אמר האריס בראיון.

האריס אמר שהחברה שקלה את השלכות הפרטיות של טביעת אצבע על קנבס לפני השקת הבדיקה, אך החליטה "זה בהחלט במסגרת הכללים והתקנות והחוקים והמדיניות שיש לנו".

הוא הוסיף כי החברה השתמשה רק בנתונים שנאספו מטביעות אצבעות בד למחקר ופיתוח פנימי. לדבריו, החברה לא תשתמש בנתונים למיקוד מודעות או התאמה אישית אם משתמשים יתקינו את קובץ ה-AddThis לביטול הסכמה במחשבים שלהם.

Arvind Narayanan, הפרופסור למדעי המחשב שהוביל את צוות המחקר של פרינסטון, טען נגד כי אילוץ המשתמשים לקחת את AddThis במילה שלו לגבי אופן השימוש בנתונים שלהם, הוא "לא הבטחת הפרטיות הטובה ביותר".

טביעות אצבע של המכשיר מסתמכות על העובדה שכל מחשב שונה במקצת: כל אחד מכיל גופנים שונים, תוכנות שונות, הגדרות שעון שונות ומאפיינים ייחודיים אחרים. מחשבים משדרים באופן אוטומטי חלק מהתכונות שלהם כשהם מתחברים למחשב אחר דרך האינטרנט.

חברות מעקב כבר זמן רב ביקשו להשתמש בהבדלים האלה כדי לזהות מכשירים למטרות פרסום מקוון, במיוחד כאשר משתמשי אינטרנט משתמשים יותר ויותר בתוכנות לחסימת פרסומות ומוחקים קובצי Cookie.

במאי 2012, חוקרים מאוניברסיטת קליפורניה, סן דייגו, שמו לב שתכונת תכנות אינטרנט הנקראת "קנבס" יכולה לאפשר סוג חדש של טביעת אצבע - על ידי משיכה של תכונות שונות מאשר טביעת אצבע טיפוסית של מכשיר.

ביוני, פרויקט Tor הוסיף תכונה לדפדפן האינטרנט המגן על הפרטיות שלו כדי להודיע ​​למשתמשים כאשר אתר אינטרנט מנסה להשתמש בתכונת הקנבס ושולח תמונת קנבס ריקה. אבל דפדפני אינטרנט אחרים לא הוסיפו התראות על טביעת אצבע על קנבס.

שנה לאחר מכן, המתכנת הרוסי ולנטין ואסילייב הבחין במחקר והוסיף תכונת קנבס לקוד טביעת אצבע זמין חופשי שפרסם באינטרנט. הקוד היה פופולרי מיד.

אבל וסילייב אמר שהחברה שבה עבד באותה תקופה החליטה שלא להשתמש בטכנולוגיית טביעות האצבע. "אספנו כמה מיליוני טביעות אצבע אבל החלטנו שלא להשתמש בהן כי הדיוק היה 90%", אמר, "ורבים מהלקוחות שלנו היו בנייד וטביעת האצבע לא עובדת טוב בנייד".

וסילייב הוסיף שהוא לא מודאג מהדאגות לפרטיות של טביעת אצבע.

"טביעת האצבע עצמה היא מספר שבשום אופן לא קשור לאישיות", אמר.

AddThis שיפר את הקוד של Vasilyev על ידי הוספת מבחנים חדשים ושימוש בבד כדי לצייר פאנגרם "Cwm fjordbank glyphs vext quiz" - משפט שמשתמש בכל אות באלפבית לפחות פעם אחת. זה מאפשר לחברה ללכוד שינויים קלים באופן שבו כל אות מוצגת.

AddThis אמרה שהיא הוציאה את התכונה לחלק קטן מ-13 מיליון האתרים שבהם הטכנולוגיה שלה מופיעה, אבל היא שוקלת לסיים את הבדיקה בקרוב. "זה לא מספיק מזהה באופן ייחודי," אמר האריס.

AddThis לא הודיעה לאתרים שבהם הוצב הקוד מכיוון ש"אנו עורכים פרויקטים של מו"פ בסביבות חיות כדי לקבל את התוצאות הטובות ביותר מבדיקות", על פי דוברת.

היא הוסיפה כי החברה אינה משתמשת באף אחד מהנתונים שהיא אוספת - בין אם מטביעות אצבעות בד או מעקב מסורתי מבוסס-עוגיות - מאתרים ממשלתיים כולל WhiteHouse.gov לצורך מיקוד מודעות או התאמה אישית.

החברה לא הציעה הבטחות כאלה לגבי נתונים שהיא אוספת באופן שוטף ממבקרים באתרים אחרים, כגון YouPorn.com. YouPorn.com לא הגיבה לפניות מ-ProPublica לגבי האם היא מודעת לבדיקת AddThis של טביעת אצבע על קנבס באתר האינטרנט שלה.

ג'וליה אנגווין היא כתבת בכירה ב-ProPublica. ספרה "אומת הדרגנט: מסע אחר פרטיות, ביטחון וחופש בעולם של מעקבים בלתי פוסקים", ראה אור ב-2014.

איך אתה יכול לנסות לסכל טביעת אצבע על קנבס:

השתמש בדפדפן Tor (אזהרה: יכול להיות איטי.)

חסום את טעינת JavaScript בדפדפן שלך (אזהרה: שובר אתרי אינטרנט רבים.)

השתמש בתוסף דפדפן NoScript כדי לחסום JavaScript מטביעות אצבע ידועות כגון AddThis (אזהרה: דורש הרבה מחקר וקבלת החלטות.)

נסה את סיומת ה-bruiser הניסיוני Chameleon שנועדה לחסום טביעות אצבע (אזהרה: מומלץ רק למשתמשים מביני טכנולוגיה בשלב זה.)

התקן קובצי Cookie לביטול הסכמה מטביעות אצבע ידועות כגון AddThis (אזהרה: טביעת אצבע כנראה עדיין תיאסף, חברות פשוט מתחייבות לא להשתמש בנתונים למיקוד מודעות או התאמה אישית).

השתמש בתוסף דפדפן שחוסם JavaScript מחברות ידועות למעקב אחר מודעות כגון AddThis. ההרחבות כוללות Disconnect או הרחבת דפדפן AdBlockPlus עם מסנן EasyPrivacy מותקן.

(אזהרה: חוסם רק חברות מוכרות למעקב אחר מודעות; אתרים אחרים עדיין יכולים להשתמש בטביעת אצבע על קנבס)

לסיקור נוסף: קרא את הסיפורים האחרונים של ProPublica על איך זה מעקב מקווןנעשה מצמרר יותר, איך היה פייסבוקעוקב אחריך, ובאילו כלים להשתמשלהגן על עצמך.