Хоча багато користувачів очищують файли cookie, сподіваючись убезпечити свою приватність в мережі, науковці з Техаського університету A&M доводять — цей метод втрачає ефективність. Як свідчать результати їхнього дослідження, інтернет-ресурси широко використовують альтернативну технологію стеження — так званий «браузерний відбиток». Це цифровий профіль, який формується на основі індивідуальних характеристик пристрою та поведінки користувача.
Про це розповідає видання Earth.
На відміну від cookie-файлів, цей тип відстеження не залишає нічого, що можна видалити. Більше того, більшість користувачів навіть не підозрюють, що їхня активність аналізується в такий спосіб. За припущенням авторів, деякі компанії впроваджують це рішення без згоди, що може суперечити нормам конфіденційності.
Як діє непомітне стеження за користувачами?
Під час кожного візиту на сайт браузер автоматично передає технічні параметри — тип операційної системи, роздільну здатність екрана, часовий пояс, специфіку пристрою. Окремо ці дані можуть здатися незначущими, проте у поєднанні формують унікальну цифрову «ідентичність». Навіть без входу в обліковий запис чи з відключеними cookie, сайти можуть точно ідентифікувати людину.
Доктор Нітеш Саксена, фахівець із кібербезпеки, зазначає, що це перше дослідження, яке не просто описує технологію фінгерпринтингу, а доводить її активне застосування в рекламних цілях.
Браузери з орієнтацією на конфіденційність, як-от Brave або навіть Tor, також не гарантують повного захисту. Кожен пристрій залишає цифрові «сліди», які дозволяють сайтам та рекламодавцям ідентифікувати користувача без будь-якого сповіщення.
Фінгерпринт і таргетинг: зв’язок, який доведено
На відміну від попередніх досліджень, це вперше чітко продемонстровано, як саме відбитки браузера впливають на цифрову рекламу. Вчені створили інструмент FPTrace, що дозволяє відстежити, як змінюється вартість рекламного показу в залежності від змін у цифровому «відбитку».
Виявилося, що навіть після очищення cookie відбиток браузера зберігається і використовується між сеансами — навіть на різних пристроях. Це надає рекламодавцям майже безперервний доступ до ідентифікації користувача, часто без його обізнаності.
Юридичний вакуум та виклик для регуляторів
Дослідники занепокоєні тим, що чинне законодавство про захист даних, як-от GDPR або CCPA, не охоплює цей механізм відстеження. Оскільки зняття цифрового відбитка здійснюється без повідомлень або запитів на згоду, правозастосування практично неможливе.
Команда пропонує розширити повноваження регуляторів і вимагає, аби розробники браузерів впроваджували жорсткіші обмеження проти фінгерпринтингу. За допомогою FPTrace можна буде проводити аудит компаній, які використовують такі методи без дозволу.
Загалом у дослідженні було проаналізовано 30 унікальних наборів даних. Кожен з них містив від десятків мільйонів до понад 3,5 мільярда записів, і майже всі — раніше не публікувалися. Єдиним винятком стала база з 184 млн паролів, про яку стало відомо ще у травні.