Facebook-sporing avslørt og dokumentert

Facebooks annonsesystem Beacon samler informasjon om Facebook-brukeres surfevaner, selv når brukerne ikke er logget inn. Dette står i sterk motsetning til tidligere uttalelser fra nettsamfunnets talspersoner.

Det er Stefan Berteau, sikkerhetsforsker i Computer Associates (CA), som har dokumentert hvordan annonsesystemet Beacon trekker ut informasjon om hvilke nettsteder brukerne har oppsøkt. I denne bloggen forklarer han hvordan .

Fredag kveld, bare noen få timer etter at Facebook så ut til å ha avverget en overvåkingsskandale ved å love endringer i annonsesystemet, la han ut dokumentasjon om hvordan systemet overvåker Facebook-brukere, også når de ikke er logget inn på nettstedet.

Før dette hadde Facebook avvist problemstillingen, som ble omtalt først på bloggen til Ben Googins

Blankt avvist

Ifølge Berteau virker sporingen også om brukerne har valgt å ikke la Beacon publisere informasjon på Facebook om hvilke nettsteder de har vært på, og den virker også når brukerne er logget av Facebook.

I hans test ble tre scenarier med lagring av informasjon fra nettet forsøkt. I det første var han logget inn på Facebook, men svarte nei på spørsmålet om Facebook kunne publisere informasjonen på hans "feed". Andre gang ble informasjonen lagret etter utlogging , men i samme nettleser-økt. Tredje gang ble nettleseren lukket og startet opp igjen uten innlogging på Facebook, før informasjonen ble lagret.

LES OGSÅ: Slik unngår du at Facebook sporer deg

Etter å ha undersøkt trafikkloggen på nettverket, oppdaget Berteau at informasjonen ble overført til Facebok i alle de tre tilfellene.

Dette er stikk i strid med hva Facebook selv hevder i sin første epost til Berteau: "Så lenge du er logget ut av Facebook, sendes ingen informasjon om hva du har gjort på andre nettsteder".

Facebook kom med en liknende benektelse på spørsmål fra avisen New York Times i forrige uke. Men Berteaus dokumentasjon viser altså at påstanden ikke holder vann.

- Dataene slettes

Beacon gir annonsørene muligheten til å markedsføre direkte mot brukerne på Facebook, ut fra deres surfevaner og hva de gjør på nettstedet. Ikke uventet har Beacon, og Facebook, møtt sterk kritikk fra personverngrupperinger.

Facebook red først av stormen ved la brukerne velge om Beacon skal få publisere informasjonen som samles inn. Men så viser det seg at det ikke hjelper brukerne å skjule slik informasjon fra Facebook.

I sin siste respons til CA-analysen hevder Facebooks representant at om en bruker klikker "nei takk" til at informasjon kan brukes av Beacon, blir dataene ikke brukt og slettet fra serverne. Det sendes data fra partner-nettsteder til Facebook også før Facebook har funnet ut om brukerne er logget på, men også disse datane slettes, hevder representanten fra Facebook.

Dokumentasjonen fra Berteau sår sterk tvil om at dette er riktig.

- Må sjekke grundig

Fra et personvernståsted er dette en svært betenkelig sak, mener senioringeniør Atle Aarnes i Datatilsynet. Men norske brukere er ganske maktesløse.

- Problemet er at den behandlingsansvarlige sitter i California, slik at saken verken rammes av norsk lov eller det europeiske personverndirektivet. Når vilkårene i tillegg ikke er dekkende for realitetene, blir de jo helt umulige å forholde seg til. Hadde dette vært i Norge, ville det vært en alvorlig sak.

Han råder norske Facebook-brukere til å følge godt med og lese personvernvilkår nøye.

- Folk må gjøres oppmerksom på når og hvordan motparten behandler personopplysninger. Det er svært alvorlig hvis det gis inntrykk av at man ikke blir overvåket, men blir det likevel.

Aarnes oppfordrer brukere til å å følge godt med i media og vurdere nøye hvilke opplysninger de velger å oppgi om seg selv på nettsteder som Facebook.