Spotify hace uso de una cookie que no se puede borrar
02 agosto 2011
Parece que los suecos de Spotify acaban de meterse en un buen lío, según una investigación realizada por la Universidad de Berkeley la compañía habría estado usando una cookie cuya particularidad consiste en que no puede ser borrada, con la consiguiente amenaza que esto supone para el usuario. Sigue funcionando incluso si este tiene actividada la opción de no permitir cookies en su ordenador e incluso si este está con el modo privacidad activado que ya incluyen muchos navegadores como Firefox o Google Chrome, ocurra lo que ocurra y estén activas las opciones que estén activas no se puede evitar que se instale, es más, si intentamos borrarla se vuelve a regenerar en una especie de juego de whack-a-mole siniestro.
La cookie en cuestión parece que les ha sido proporcionada por KISSmetrics, una compañía cuyas tácticas sucias ya han sido puestas en entredicho y que también presta servicios a gigantes de internet tales como Hulu, que dicho sea de paso también hace uso de la cookie en cuestión. Según el email de un investigador de seguridad a Wired básicamente lo que hace es utilizar toda una serie de artimañas y puertas de seguridad para evitar ser bloqueados por todos los métodos más populares de bloqueo antitracking, haciendo seguimiento del usuario incluso si este no quiere.
De momento la respuesta de la compañía ha sido fulminante en cuanto a dejar de usar la cookie maldita (como si les quedase otra posible solución) y están trabajando para averiguar hasta qué punto está implicada KISSmetrics en el asunto, algo que huele mucho a cargarle el muerto a otro, incluso aunque este otro sea igual o más responsable que la propia Spotify; la respuesta de Hulu también ha sido similar. Desconozco si ambas compañías desconocían el uso de las cookies que empleaba KISSmetrics, aunque de ser así y en desconocimiento de sus clientes es probable que en estos momento estén llamando a todos sus abogados para hacer frente a la demanda que se les avecina.
¿Cuál es el objetivo de una cookie que no se puede borrar? A efectos de rastreo puede ser bastante nefasto, por ejemplo, si un visitante entra en Hulu o hace uso de Spotify, la cookie proporcionada por KISSmetrics se instalaría y le daría al usuario un ID concreto que podría usar Hulu para sus propios fines, en cuanto ese visitante entra en otro sitio que hace uso del mismo servicio la cookie obtendría la misma ID lo que hace potencialmente posible que dos compañías o incluso la propia KISSmetrics compartan o utilicen información privilegiada del usuario que no sólo este no ha autorizado sino para la que se ha protegido incluyendo métodos como el bloqueo de cookies. De momento está todo en el aire y la compañía acaba de pronunciarse al respecto, habrá que ir viendo hasta qué punto llega la invasión de privacidad y ver cómo sale Spotify del atolladero.
Actualización (2 de Agosto):
Actualización (fecha): Hemos intentado hablar con el representante de Spotify en España, Lutz Emmerich y no ha sido posible por estar de vacaciones. Cuando preguntamos a Spotify sobre el tema nos dicen que sólo pueden decir lo siguiente:
Vía | ALT1040
La cookie en cuestión parece que les ha sido proporcionada por KISSmetrics, una compañía cuyas tácticas sucias ya han sido puestas en entredicho y que también presta servicios a gigantes de internet tales como Hulu, que dicho sea de paso también hace uso de la cookie en cuestión. Según el email de un investigador de seguridad a Wired básicamente lo que hace es utilizar toda una serie de artimañas y puertas de seguridad para evitar ser bloqueados por todos los métodos más populares de bloqueo antitracking, haciendo seguimiento del usuario incluso si este no quiere.
De momento la respuesta de la compañía ha sido fulminante en cuanto a dejar de usar la cookie maldita (como si les quedase otra posible solución) y están trabajando para averiguar hasta qué punto está implicada KISSmetrics en el asunto, algo que huele mucho a cargarle el muerto a otro, incluso aunque este otro sea igual o más responsable que la propia Spotify; la respuesta de Hulu también ha sido similar. Desconozco si ambas compañías desconocían el uso de las cookies que empleaba KISSmetrics, aunque de ser así y en desconocimiento de sus clientes es probable que en estos momento estén llamando a todos sus abogados para hacer frente a la demanda que se les avecina.
¿Cuál es el objetivo de una cookie que no se puede borrar? A efectos de rastreo puede ser bastante nefasto, por ejemplo, si un visitante entra en Hulu o hace uso de Spotify, la cookie proporcionada por KISSmetrics se instalaría y le daría al usuario un ID concreto que podría usar Hulu para sus propios fines, en cuanto ese visitante entra en otro sitio que hace uso del mismo servicio la cookie obtendría la misma ID lo que hace potencialmente posible que dos compañías o incluso la propia KISSmetrics compartan o utilicen información privilegiada del usuario que no sólo este no ha autorizado sino para la que se ha protegido incluyendo métodos como el bloqueo de cookies. De momento está todo en el aire y la compañía acaba de pronunciarse al respecto, habrá que ir viendo hasta qué punto llega la invasión de privacidad y ver cómo sale Spotify del atolladero.
Actualización (2 de Agosto):
Actualización (fecha): Hemos intentado hablar con el representante de Spotify en España, Lutz Emmerich y no ha sido posible por estar de vacaciones. Cuando preguntamos a Spotify sobre el tema nos dicen que sólo pueden decir lo siguiente:
“We take the privacy of our users incredibly seriously and are concerned by this report. As a result, we have taken immediate action in suspending our use of KISSmetrics whilst the situation is investigated.”Seguiremos el tema a ver en qué queda.
Vía | ALT1040
Publicar un comentario