רוב המשתמשים כלל לא יודעים שקיים סוג כזה של מעקב…
באינטרנט קל להרגיש אנונימי. אם לא מתחברים לחשבון, איש לא יכול לראות מי אתם. אפילו אפשר לעבור למצב גלישה בסתר. משתמשים מתקדמים יותר יגידו שזה עדיין לא מספיק. כדי להיות אנונימי באמת, צריך לנקות את העוגיות ולהשתמש בדפדפן שמתמקד בפרטיות.
אבל מחקר חדש מגלה שגם זה כבר לא עובד. אתרים עדיין עוקבים אחריכם – בשקט, באופן מתמשך, וללא הסכמתכם – על ידי קריאת ”טביעת האצבע” הייחודית של הדפדפן שלכם.
“זוהי חתימה דיגיטלית שלא ידעת שאתה משאיר מאחור,” טוען זנגרוי ליו, חוקר שותף במחקר שנעשה. “אתה אולי נראה אנונימי, אבל המכשיר או הדפדפן שלך מסגירים אותך.”
פירורי לחם דיגיטליים
עוגיות – אותם קבצי מידע קטנים שאתרים משתמשים בהם כדי לזכור אותך – נמצאות במוקד הדיונים סביב פרטיות כבר שנים ורק באחרונה עודכנו ההוראות בנושא בתיקון 13 לחוק הגנת פרטיות המידע. אבל עוגיות ניתנות לזיהוי. אפשר למחוק אותן, לחסום אותן, או לסרב להן לחלוטין.
טביעות אצבע של דפדפן פועלות אחרת. הן פועלות בצללים, בלי שאתם עושים דבר. כאשר נכנסים לאתר, הדפדפן שלכם שולח פרטי מידע בסיסיים – כמו אזור הזמן, רזולוציית המסך, או סוג המכשיר שבו הגולשים משתמשים. המידע הזה נועד לאפשר לאתר להציג את התוכן בצורה נכונה. אבל השילוב של הנתונים הללו יוצר דפוס ייחודי – מעין חתימה דיגיטלית. למעשה, אתם משאירים אחריכם שביל של “פירורי לחם” דיגיטליים, ייחודי כמו טביעת אצבע.
בניגוד לעוגיות, אי אפשר למחוק טביעות אצבע. הן אינן נשמרות מקומית, אלא נאספות באופן פסיבי בכל פעם שהדפדפן שלכם מתחבר לאתר. אפשר לנסות לשנות חלק מהנתונים, כמו רזולוציית המסך, אך זה עלול לגרום לכך שהאתר לא ייטען כראוי. המידע הזה שימושי מאוד עבור אתרים כי הוא מאפשר להם להציג פרסומות מותאמות אישית או הצעות שמתאימות לכם, או פשוט להתאים את נראות התוכן. אבל, בתיאוריה, הוא יכול גם לשמש למעקב סמוי.
ראיות מוצקות
זו לא הפעם הראשונה שטביעות אצבע דיגיטליות מוזכרות, אומרים החוקרים. “טביעות אצבע תמיד היו נושא מדאיג בקהילת הפרטיות, אבל עד עכשיו לא היה לנו הוכחה ברורה שהן באמת משמשות למעקב אחרי משתמשים,” טוען ד”ר ניטש סקסנה, חוקר סייבר, פרופסור למדעי המחשב והנדסה וסגן מנהל המכון לחקר סייבר גלובלי באוניברסיטת טקסס A&M. “העבודה שלנו עוזרת לסגור את הפער הזה.”
כדי לבדוק אם זה באמת קורה, החוקרים פיתחו כלי בשם FPTrace, מערכת חדשה שנועדה לעקוב אחרי מה שקורה כשמשתנה טביעת האצבע של דפדפן. הרעיון פשוט: אם טביעות האצבע באמת משפיעות על פרסומות, שינוי הטביעה צריך להשפיע על ההתנהגות של המפרסמים.
והם צדקו.
הם זיהו שינויים בערכי ההצעות של מפרסמים – כלומר, כמה כסף חברה מוכנה לשלם כדי להציג פרסומת וגם ירידה במספר “אירועי סנכרון”, שמטרתם לזהות משתמשים בין פלטפורמות שונות. הממצאים הצביעו בבירור על כך שטביעות האצבע של הדפדפן משמשות בזמן אמת כדי לעצב את הפרסומות שהמשתמש רואה – ואולי גם להעביר את המידע הזה לגורמים שלישיים.
המעקב התרחש גם כאשר העוגיות נמחקו או נוקו.
“סוג כזה של ניתוח מאפשר לנו להעמיק מעבר לפני השטח,” אמר החוקר ג’ימי דני. “הצלחנו לא רק לגלות את קיומן של טביעות אצבע, אלא גם להוכיח שהן משמשות לזיהוי ולמיקוד במשתמשים – דבר שקשה הרבה יותר להוכיח.”
והחוק לא תמיד נאכף החוקרים רצו לבדוק אם חקיקה משפיעה על הנושא. הם גילו שגם משתמשים שבחרו במפורש לא להיות במעקב במסגרת תקנות הגנת המידע הכלליות של האיחוד האירופי (GDPR) או חוק פרטיות הצרכן של קליפורניה (CCPA) – עדיין עברו תהליך של זיהוי באמצעות טביעות אצבע. לא הייתה להם שום אפשרות אמיתית להגיד “לא”. זהו מעקב בלתי נראה לחלוטין.
לא ברור אם זה חוקי והחוקרים טוענים שטביעות האצבע פועלות באזור אפור. מכיוון שהן לא דורשות אחסון מידע במכשיר, הן אינן תמיד נכללות תחת החוקים שמטרתם להסדיר עוגיות או שיטות מעקב מסורתיות. החקיקה, כמו שקורה לעיתים קרובות, מפגרת מאחור ואינה מספקת הגנה מלאה.
נקודת מפנה בהבנת הציבור
המחקר, שהוצג בוועידת הרשת של ACM בשנת 2025, מסמן נקודת מפנה משמעותית בהבנת הציבור את נושא הפרטיות המקוונת. רוב המשתמשים כלל לא מודעים לקיומה של טכנולוגיה כזו, והיא כבר משולבת עמוק בתוך מערכות הפרסום באינטרנט.
בכל פעם שעמוד נטען, ייתכן שטביעת האצבע שלכם נמכרת למרבה במחיר – בתהליך שקורה מאחורי הקלעים, בתוך מילי-שניות, וללא ידיעתכם.
החוקרים מקווים ש-FPTrace יהפוך לכלי נפוץ יותר, לא רק בקרב מדענים, אלא גם עבור רגולטורים שמעוניינים לבנות חוקים טובים יותר. אם גופי פיקוח על פרטיות יוכלו להשתמש בו כדי לאתר מעקב סמוי, הם יוכלו סוף סוף לאכוף את החוקים הקיימים ואולי גם לדחוף ליצירת חוקים חדשים ומתקדמים יותר, כמו תיקון 13 לחוק הגנת הפרטיות, שעבר באחרונה בישראל ומגדיל את אחריות האתרים לשמור על נתוני הגולשים.
עד אז, ייתכן שההגנה הטובה ביותר לא תהיה מחיקה של עוגיות. אבל אולי תהיה ההבנה שהדפדפן שלכם, בשקט ובאופן אוטומטי, חושף לאינטרנט הרבה יותר מידע עליכם ממה שחשבתם.
אז בפעם הבאה שלוחצים על “אני מסכים/ה” בלי לקרוא את מדיניות הפרטיות – זכרו שזה בערך כמו לחתום על חוזה עם השטן בלי לבדוק את הסעיפים הקטנים. אולי לא תפסידו את הנשמה, אבל כנראה תאבדו עוד קצת מהפרטיות. אז קחו רגע, קראו, בדקו את ההגדרות בדפדפן שלכם, ואולי – רק אולי – תצליחו להישאר צעד אחד לפני המפרסמים שמכירים אתכם טוב יותר מהחברים. 🕵️♂️
