After beeing viewed more than 100k times on twitter and mastodon, I "archieved" the tiktok story to my blog. This night it got rolled over by 30k visitors because it got #1 on hacker news. No problem for the Uberspace server. Thanks for the interest!
news.ycombinator.com/item?id=2

Bytedance told me that they use this fingerprinting to identify malicous browser behaviour. I don't believe, because the website still works if the script is blocked. Also they use Akamai's fingerprinting technology already on the server (which is another story to investigate).

They also use audio fingerprinting to identify visitors. This doesn't mean they actually use your microphone or speaker. Instead they generate a sound internally and record the bitstream, which also differs from device to device. This is what it sounds like.

One of them: Canvas Fingerprinting. They draw an image in the background using vector graphic commands. Afterwards they save the image to a rasterized PNG. This data is quite unique among different devices depending on settings and hardware.

But they also track who is watching the video. Among common trackers (Google Analytics) they use the highly controversial method of device fingerprinting to set a mostly unique hash to the cookie s_v_webid. This is done by combining typical hardware and browser characteristics.

I also checked the website which is important as all shared videos (via messenger or social media) are viewed there. The short URL e.g. vm[dot]tiktok[dot]com/9uTpDV will be resolved to a URL which contains the installation ID. Tiktok will be able to check who shared which video.

Hard to believe that this is covered by "legitimate interest" and transparency: Entered search terms are sent to Facebook.

This is my setup: I used mitmproxy to route all app traffic for analysis. See in this video how device information, usage time and watched videos are sent to Appsflyer and Facebook.

Good news for the : The mobile API from @pixelfed (the Instagram replacement) is finally live on flagship site pixelfed.social. Apps like @Tusky or @fedilab can post fotos to your pixelfed account. A native pixelfed app will follow.
mastodon.social/@dansup/103212

Der "Erweiterte Datenschutzmodus" ist auch so eine Trollnummer von Google:

"Privacy Enhanced Mode allows you to embed YouTube videos without using cookies that track viewing behavior."
support.google.com/youtube/ans

Ok - keine Cookies. Aber dafür eine eindeutige ID im Local Storage 🙄

A great tool for or privacy advocates: OpenWPM automates the simulated browsing of websites (optional using docker) and saves relevant data to a database, e.g. requests, saved cookies or suspicious javascript calls. github.com/mozilla/OpenWPM

NYTimes was using this for a recent story.
nytimes.com/interactive/2019/0

Aus dem Skandal um Facebook-Tracking beim BRK haben nicht alle was gelernt: Beim Spendecheck von DKMS wird im Fall von Krankheiten an Google Analytics gemeldet:
"risk group - exit"
Wenig später erscheinen anderswo dann Anzeigen von DKMS. Tja: Google Analytics ist in diesem Fall mit Google Ads verbunden, meine Daten zirkulieren, auch wenn es unwahrscheinlich ist, dass DKMS eine Zielgruppe aus kranken Besuchern erstellt.

Verstoß gegen die DSGVO, die AGBs und den gesunden Menschenverstand.

Wir haben heute eine Musterbeschwerde gegen Facebook-Tracker zur allgemeinen Nutzung mit Anleitung veröffentlicht. Ein Leser hat damit bereits gestern in Hamburg eine Datenschutzbeschwerde gegen @zeitonline eingereicht.
rufposten.de/blog/2019/10/24/w
@kuketzblog

Weil Facebook nicht erlaubt, dass Websites mit dem Pixel Gesundheitsdaten übertragen, ist natürlich logisch, dass man die Krankheiten als Targetingoption anbietet. Denn das können ja dann nur noch Leute sein, die sich nur für die Krankheiten "interessieren" *zwinkerzwonker*

Und noch eine sehr typische Facebook-Aktion dazu: Hier sieht man den Standard-Einbettungs-Code vom BRK.
Bis 2017 löste dieses fbq('track', 'PageView'); tatäschlich nur ein Seitentracking aus.

2017 entschied man, dass mit diesem Standardcode auch Button-Klicks getrackt werden sollen. Ohne den Einbettungs-Code zu ändern, wurde die automatische Funktion erweitert. Man muss es manuell deaktivieren:
fbq('set', 'autoConfig', 'false', 'FB_PIXEL_ID')
developers.facebook.com/docs/f

Hier sieht man die technischen Details: Der Tracker sendet die Buttonbeschriftung, auf die geklickt wird zusammen mit der Anzahl der Klicks. Dadurch lässt sich aus den Daten die geklickte Krankheit ableiten.
@ulrichkelber

Da Facebook auf Conversiontracking von Shop-Buttons fokussiert ist, gehen Facebook-Experten nicht davon aus, dass die Daten für Werbezwecke verwendet wurden. Denkbar ist dennoch, dass Facebook über statistische Analyse einen Bezug zu bestimmten Anzeigen erkennt.

Aufpassen mit externen Umfrage-Tools, schnell geraten damit sensible Daten der Leser/-innen an fremde Unternehmen, hier zB das Gehalt der Zeit-Leser an ein privates Wirtschaftsinstitut. Man erkennt nicht, dass das Tool nicht von der Redaktion ist. zeit.de/wirtschaft/2019-08/ins

Sehe in diesem Fall zwar keine Hinweise auf kommerzielle Verwendung (weil keine Tracker von entsprechenden Plattformen). Aber die Leser sollten vorher informiert werden, welche Daten warum die Verlagswebsite verlassen.

RfP19_Youth@twitter.com, thanks for being such a wonderful and kind audience at Deutsche Welle Academy for Mobile Reporting! All the best for the conference!
I'm still smiling about that portrait 🤓

Der Werbemarkt wie immer: ein rechtsfreier Raum.

Nicht jeder Canvas ist ein Fingerprint. Aber solche Testbilder aus Schrift, Linien, Farben und Verläufen sind sicher für Tracking. Das Canvas-Fingerprinting wird offenbar eingesetzt, wenn der Leser seine Cookies gelöscht hat. Guter Fachartikel dazu: dl.gi.de/bitstream/handle/20.5

Show more
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!