Google kondigde op maandag aan dat het zijn privacybeleid zou verbeteren door gegevens na negen maanden anoniem te maken. Op het eerste gezicht lijkt dit een overwinning voor privacyvoorvechters, echter noemt beveiligingsonderzoeker Chris Soghoian het niets meer dan een publiciteitsstunt.
Omdat de aankondiging die Google op maandag maakte waarin het beloofde om IP-adressen van gebruikers na negen maanden onzichtbaar te maken, vrij weinig details bevatte, besloot de beveiligingsonderzoeker zelf om verduidelijking te vragen. Het antwoord dat hij kreeg vond hij uiterst interessant.
Wanneer een gebruiker een zoekopdracht op Google uitvoert, worden er een cookie-identifier, het IP-adres en de zoekopdracht opgeslagen. Googles huidige privacybeleid is om na 18 maanden de gegevens, IP-adressen en cookie-identifier, anoniem te maken.
Het anoniem maken van een IP-aders gebeurt door de laatste drie cijfers te verwijderen. Na achttien maanden verandert het IP-adres 173.192.103.121 dan naar 173.192.103.xxx. Deze techniek zorgt ervoor dat de gebruiker tot een groep van 254 personen kan behoren, omdat tussen elke punt in het IP-adres het cijfer 1 tot 255 kan staan.
Ter vergelijking: Microsoft verwijdert de cookies, IP-adressen en andere informatie waarmee een gebruiker geïdentificeerd kan worden compleet na 18 maanden.
Google heeft nu verteld dat het na negen maanden al de gebruiker anoniem zal maken, weliswaar in mindere mate dan nu gebeurt met het beleid van 18 maanden. In plaats van een groep van 254 mensen, zal een gebruiker nu mogelijk behoren tot een groep van 64 of 127 mensen omdat het aantal gewijzigde cijfers in het IP-adres nog minder zal worden. "Dit is een lachwekkend niveau van anonimiteit. Echter, het wordt nog erger," vertelt hij.
"Stel dat een gebruiker met het IP-adres 173.192.103.121 en een cookie met 12345 een zoekopdracht op Google uitvoert. Na negen maanden, in maart 2009, zal het IP-adres dan veranderd zijn naar 173.192.103.1XX. Echter blijft de cookie in het logbestand. Wanneer dezelfde gebruiker in april 2009 terugkeert naar Google en een nieuwe zoekopdracht uitvoert vanaf hetzelfde IP-adres en nog met dezelfde cookiewaarde, zal de anonimiteit compleet verloren zijn gegaan. Tenslotte blijft de cookiewaarde hetzelfde," zo vertelt hij op het CNET-blog.
"De simpele waarheid is dat enige vorm van IP-anonimisatie, hoe sterk of hoe zwak ook, compleet nutteloos is zolang de cookiewaarden ook blijven bestaan," voegt Soghoian toe. Hij vindt het dan ook jammer dat Google misbruik maakt van de mainstream media die niet weten wat het anonimiteitsbeleid van Google precies inhoudt.
2 uur geleden
