U zult afgelopen vrijdag ongetwijfeld een zware tijd hebben gehad door het ontbreken van de Rootsec blog. Geen zorgen, we zijn u niet vergeten. We zijn zo aan het einde van het jaar simpelweg even aan het experimenteren met het beste moment om te publiceren. Deze week is dat dus maandag. Maar dat maakt de inhoud natuurlijk niet minder goed. Zo hebben we het deze week over een individu die wel heel ver gaat voor het verkrijgen van een domeinnaam, begint Google zich actiever te bewapenen tegen phishing aanvallen en geven we u een reden om boos te worden op veel Nederlandse webshops en websites.

Ze gooien met de pet naar de cookiewet

Deze week kwamen er namelijk interessante resultaten op tafel van een steekproef die de AP heeft uitgevoerd onder 175 websites van webshops, gemeenten en media. Weet u nog dat we ooit akkoord gegaan zijn met een cookiewet? Daar hangen heel veel regels aan welke meer dan de helft van de onderzochte website volledig aan hun laars lappen. Nog opvallender, nagenoeg alle (!) webwinkels handelen niet volgens de regels. Het is namelijk verplicht dat de bezoeker van de website expliciet gevraagd wordt of deze akkoord gaat met het gebruik van tracking cookies. In veel gevallen wordt dit echter niet gedaan en gaat de klant hier automatisch, maar dus onwetend, mee akkoord. In veel gevallen zijn bijvoorbeeld alle vinkjes al ingevuld en hoeft de bezoeker alleen nog maar op “ok” te klikken, maar dan is dat geen bewuste keus van de klant en is diens toestemming dus niet geldig. Om dit wel geldig te krijgen is er een ‘ondubbelzinnige en actieve handeling’ van de gebruiker nodig. Met andere woorden, vinkt hij of zij zelf het vakje aan met “ik ga akkoord met tracking cookies”, dan is het pas geldig.

Tracking cookies zijn kleine bestandjes die tijdens het surfen op een computer of smartphone worden geplaatst om de gebruiker te kunnen volgen. Op die manier is het mogelijk om internetters advertenties voor te schotelen van producten of diensten die eerder zijn bekeken. Dit komt u vast bekend voor. Tegenwoordig, sinds het van kracht worden van de AVG wet, is de AP belast met het naleven de cookiewet. De AP heeft dus ook de mogelijkheid om boetes uit te delen van bedragen tot maximaal 20 miljoen of 4% van de jaaromzet. Alhoewel er nog geen boetes zijn uitgedeeld in Nederland, hebben veel organisaties wel een brief ontvangen met een vriendelijk doch dringend verzoek om de boel aan te passen. Ondanks dat de AP geen namen heeft genoemd blijkt uit inventarisatie dat onder meer Bol.com en Coolblue hun cookiebeleid niet op order hebben. Wil je het gebruik van tracking cookies op deze websites aanpassen dan moet je naar een aparte cookiepagina surfen, en dat is niet de bedoeling. Een aantal andere partijen zoals DPG Media (de Volkskrant, AD) en Mediahuis (De Telegraaf, NRC) als Talpa (SBS6, Radio 538) en RTL Nederland (RTL Z, Videoland) zijn ook in overtreding. Gelet op de potentiële hoogte van de boetes verwachten we toch dat deze webwinkels en websites wel enkele aanpassingen zullen doorvoeren.

Google gaat voorop in strijd tegen phishing

Wederom berichtgeving over phishing, maar ditmaal over een maatregel die Google voornemens is om in te voeren. We zullen ongetwijfeld in januari 2020 zien dat er over heel 2019 genomen een grote stijging is geweest in phishing aanvallen. Hier hebben we het al vaak over gehad, maar over mogelijke maatregelen horen we maar weinig. Tot vandaag. Google heeft namelijk een nieuwe maatregel tegen phishing aangekondigd waardoor de URL van minder populaire sites die Chrome-gebruikers bezoeken naar Google wordt gestuurd. Momenteel bestaat dit al maar wordt deze lijst elke 30 minuten bijgewerkt. Echter is Google nu aan het testen met “real-time-phishing” waar de bezochte URL ter plekke real-time wordt geïnspecteerd, staat de bezochte sites niet op de zogenaamde “safe-list” dan stuurt Chrome de URL naar Google. Hierdoor zouden gebruikers ook voor nieuwe phishingsites worden gewaarschuwd. Wilt u gebruik maken van deze functionaliteit? Dat kan, maar dan moet u wel de optie “Zoekopdrachten en browserfunctionaliteit verbeteren” ingeschakeld hebben staan op Chrome. We zijn benieuwd of deze maatregel zijn vruchten gaat afwerpen.

Hoe ver zou u gaan voor een domeinnaam?

Dan tot slot een redelijk bizar en luguber verhaal. Zoals u ongetwijfeld weet is het hebben van volgers tegenwoordig belangrijker dan traditionele normen en waarden. Een aantal keer per jaar blijkt wel dat de doorgeslagen social media generatie heel veel over heeft voor het vergaren van dingen als likes en exposure. Tegenwoordig is er zelfs een opleiding om influencer te worden. Je verzint het niet. Maar ik dwaal af. In de VS werd deze week een 27-jarige Amerikaan veroordeeld tot een gevangenisstraf van 14 jaar. Waarom? Omdat hij zo graag een domeinnaam wilde hebben dat hij zijn neef met een agressieprobleem op de eigenaar van het domein afstuurde. Deze domeinnaam, doitforstate.com, zou namelijk heel goed geschikt zijn voor deze 27-jarige influencer waar hij deze slogan blijkbaar te pas en te onpas schreeuwde. Dus wat doe je dan? Dan stuur je je neef, bewapend met pistool en taser op pad om met grof geweld de domeinnaam te bemachtigen. Na de nodige mishandelingen en martelingen (ja echt) ontstond er een worsteling tussen het slachtoffer en de man, waarbij het slachtoffer in zijn been werd geschoten. Hij wist echter het pistool te bemachtigen en schoot de man vervolgens meerdere keren in zijn borst en belde daarop de politie. Of de neef het heeft overleefd dat weten we niet. Maar ik ben voorstander van een nieuwe term in de dikke van Dale “social media-waanzin”. Als in ” deze persoon leidt aan social media waanzin en denkt dat likes en volgers meer waard zijn dan normen en waarden”.