Congresdemocraten aan De Joint Economic Committee zegt dat ze meer dan 20,9 miljard dollar aan consumentenverliezen hebben geïdentificeerd die verband houden met identiteitsdiefstal in verband met vier grote inbreuken waarbij gegevensmakelaars betrokken zijn. De schatting werd vrijdag vrijgegeven in een minderheidsrapport dat voortkwam uit a maandenlang onderzoek naar de praktijken van datamakelaars gelanceerd door de Amerikaanse senator Maggie Hassan.
Hassan, een democraat uit New Hampshire en hooggeplaatst lid van de JEC, stuurde in augustus onderzoeksverzoeken naar vijf grote datamakelaars – Comscore, Findem, IQVIA Digital, Telesign en 6Sense Insights – na een onderzoek door De markup En CalMattersmedeuitgegeven door WIRED, ontdekte dat sommige datamakelaars opt-outtools verborgen hielden van Google en andere zoekmachines die ‘geen index’-instructies gebruiken die webcrawlers vertellen de pagina niet te vermelden.
Het blijkt dat oplichters het soort gevoelige gegevens waarover bedrijven als deze beschikken (waaronder identificatiegegevens zoals geboortedata, adressen en zelfs burgerservicenummers) gebruiken om hun slachtoffers te targeten met gepersonaliseerde fraude.
Vier van de bedrijven ondernamen na de actie van Hassan stappen om de toegang tot opt-out-opties te verbeteren, onder meer door de code ‘geen index’ te verwijderen, prominentere links toe te voegen en richtlijnen te plaatsen over het uitoefenen van privacyrechten.
Findem reageerde echter niet op Hassan of op de follow-up van het commissiepersoneel, en het personeel zei dat het bedrijf de ‘geen index’-code niet van zijn pagina heeft verwijderd. De oproepen van WIRED naar Findem op donderdag bleven onbeantwoord.
Het rapport zegt dat het ‘onvermogen van Findem om te reageren’ op de vragen van de wetgevers ‘serieuze, brede vragen oproept over het reactievermogen van het bedrijf op opt-out-verzoeken en de inzet voor gegevensprivacy’, eraan toevoegend dat uit de eigen verplichte openbaarmakingen uit 2024 blijkt dat het bedrijf ‘80 procent van de privacyverzoeken van consumenten en andere partijen niet heeft verwerkt’, onder vermelding van ‘onvoldoende gegevens’.
IQVIA, 6sense en Comscore reageerden niet onmiddellijk op verzoeken om commentaar. Telesign stuurt persvragen door via een onlineformulier waarbij verslaggevers moeten instemmen met het ontvangen van marketingcommunicatie, dat om die reden niet is gebruikt; in plaats daarvan werd geprobeerd een e-mailadres van het bedrijf te gebruiken dat in eerder gelekte inbreukgegevens stond.
Uit het Markup/CalMatters-onderzoek bleek dat tientallen in Californië geregistreerde datamakelaars de ‘no index’-code en andere zogenaamde donkere patronen gebruikten die het moeilijker maken om opt-out- en verwijderingspagina’s te vinden. “Door dit te doen”, zegt het JEC-minderheidsrapport, “maakten de bedrijven het moeilijker voor mensen om hun informatie tegen oplichters te beschermen.”
Comscore vertelde de commissie dat het zijn website had beoordeeld na ontvangst van het verzoek van Hassan en ontdekte dat de pagina ‘Rechten van betrokkenen’ (die gebruikers naar afzonderlijke formulieren verwijst voor het indienen van opt-outverzoeken) een ‘geen index’-code bevatte. Het bedrijf zei dat het de code, die het verwijderde, terugvoerde naar een eerdere versie van de pagina die in 2003 werd gemaakt. Het rapport zegt dat het bedrijf niet kon vaststellen waarom de code werd toegevoegd, maar suggereerde dat het ‘niet bedoeld was om de toegang van consumenten te verhinderen’.
Telesign bevestigde dat zijn opt-out-formulier, gehost op een “Privacy Request”-pagina, niet in de zoekresultaten verscheen op het moment van de Markup/CalMatters-rapportage; het schreef het probleem toe aan een SEO-tool van derden die de zichtbaarheid standaard beperkt, en zegt dat het nu indexering heeft ingeschakeld en een voettekstlink aan het formulier heeft toegevoegd.
JEC-medewerkers zeggen dat de aanpak van Telesign consumenten er nog steeds toe aanzet om verder te kijken dan de hoofdsite en zelfs als er links bestaan, worden deze vaak begraven op pagina’s waarvan gebruikers redelijkerwijs niet zouden denken dat ze deze zouden controleren, inclusief pagina’s met privacyverklaringen die meer dan 9.000 woorden bevatten.
6sense betwistte dat het belangrijkste ‘Privacycentrum’ verborgen was, maar erkende dat de ‘Privacybeleid’-pagina – die linkt naar opt-out-tools – voorheen ‘geen index’-code bevatte, en voegde eraan toe dat het de code verwijderde na het Markup/CalMatters-rapport. 6sense was het enige bedrijf dat rapporteerde audits van derden te gebruiken om zowel de zichtbaarheid van opt-out-opties te beoordelen als of de verzoeken met succes werden verwerkt, aldus het rapport.
