"Je pornogeschiedenis kan op een dag openbaar gemaakt worden”

​Drie kwart van de Nederlandse mannen kijkt wel eens naar porno, tegenover een derde van de vrouwen. Dit blijkt uit ​cijfers van het onderzoeksinstituut Rutgers WPF. Van deze cijfers zal je misschien niet van je stoel vallen, maar het gegeven dat al deze pornokijkers zelf ook intensief bekeken worden, is daarentegen wel opvallend. Volgens de software-ontwikkelaar Brett Thomas gaan de partijen die over je schouder meekijken (figuurlijk natuurlijk) tijdens het porno kijken wel erg ver, en wordt van elke gebruiker zelfs een gedetailleerde lijst bijgehouden van alle clips die ze bekijken.

Thomas, die in San Francisco woont, raakte kort geleden aan de praat met iemand die in de porno-industrie werkt. Ze hadden het als vanzelfsprekend niet over het weer. Terwijl de pornoprofessional volhield dat het verkopen van gebruikersdata geen onderdeel is van het verdienmodel van erotische websites, was Thomas hier niet van overtuigd.

"Als je in het jaar 2015 porno kijkt - ook met incognito-mode aan - kan je verwachten dat je pornogeschiedenis op een dag openbaar gemaakt wordt en vervolgens aan je naam verbonden wordt," claimde Thomas in een blog getiteld "Online Porn Could Be the Next Big Privacy Scandal."

Zijn redenering gaat als volgt: je browser (Chrome, Safari etc.) heeft een unieke configuratie, en die zendt allerlei informatie uit terwijl je rondklikt over het web. Je laat, zoals Thomas dat beschrijft, in feite een soort voetafdrukken achter op de websites die je bezoekt. Het is dus een simpele kwestie van je voetsporen aan elkaar verbinden. Experts kunnen dat al bij sites als Facebook en de Volkskrant – dus waarom niet bij Pornhub en XVideos?

Thomas beweert dat "bijna elke traditionele website die je bezoekt genoeg data verzamelt om je gebruikersaccount aan je unieke browservingerafdruk te linken. Ze doen dat direct of via derde partijen." Hij heeft zeker goed ingeschat dat de meeste sites die je bezoekt trackingsoftware gebruiken en je data aan derde partijen doorgeven. Veel sites gebruiken bijvoorbeeld Google Analytics, een tool die bedrijven in staat stelt om het verkeer op hun site in de gaten te houden.

Anderen Anderen hebben deelknoppen voor social media en advertentienetwerken geïnstalleerd. Dus als jij bijvoorbeeld op de titel "Leather Fetish #3" klikt, dan stuur je niet alleen een verzoek aan de pornosite om het filmpje te laten zien; je stuurt ook een verzoek naar derde partijen als Google, het webtracking bedrijf AddThis, of een bedrijf dat Pornvertising heet. Privémodus aan of uit maakt niet uit, en bovendien is je IP-adres altijd nog een goed herkenningspunt.

Dit alles gaat volgens Thomas gepaard met een ontwikkeling die 'casual hacking' heet. Dit staat volgens hem gelijk aan het scenario dat de complete catalogus van je persoonlijke pornogewoontes op het punt staat om gelekt te worden aan een groot publiek. Het is volgens Thomas niet onmogelijk dat een hacker inbreekt in een database, en je hele pornoverleden openbaar maakt.

Dit heeft natuurlijk een aantal schadelijke gevolgen, zelfs als je hebt besloten te stoppen met porno kijken. Als je denkt dat je als je je internetgeschiedenis leegmaakt, je ook meteen de CGI dierenporno of voedselfetisj-filmpjes weggooit, dan zit je er naast. Wat zeer kwalijk is als je bedenkt dat er genoeg plekken zijn op de wereld waar je vervolgd kan worden voor je seksuele voorkeur. De onthulling dat iemand homoseksuele clips heeft bekeken kan iemand die in dictatuur leeft duur komen te staan.

Pornhub was de enige site die reageerde op onze benaderingen. Ze stelden dat de conclusie van Thomas "niet alleen volkomen onjuist, maar ook nog eens op een gevaarlijke manier misleidend is." In hun lange, overtuigende statement wees PornHub erop dat ze een enorme hoeveelheid serverruimte nodig zouden hebben om de geschiedenis van elk individu te bewaren; ze krijgen 300 miljoen verzoeken per dag en ze schatten in dat het zo'n 3600 terabyte zou innemen om alles op te slaan. Om nog maar te zwijgen over de tijd die het zou kosten om alles door te spitten. "De serverlogs van Pornhub bevatten alleen het IP van de gebruiker en nooit de browservoetafdruk," schreef een Pornhub-woordvoerder in een e-mail.

Ondanks dat antwoord, is het zo dat veel onderzoekers van internetveiligheid het er allemaal over eens waren dat het kijkgedrag van pornokijkers minder privé is dan ze denken. "Ik denk dat het een legitieme zorg is," zei Justin Brookman, een privacy-expert bij het Center for Democracy & Technology. "Privébrowsing schakelt trackingmechanismen niet uit."

Om een beter idee te krijgen van wat er precies achter de schermen van pornosites te vinden is, installeerden we Ghostery – een privacy app. De tool vindt en blokkeert trackingelementen die op webpagina's te vinden zijn. We analyseerden de populaire online pornobestemmingen zoals XVideos, XHamster, Pornhub, XXNX en Redtube. (Om de populariteit in perspectief te plaatsen: XVideos is de 43ste meestbezochte website, Gmail is de 66ste en Netflix de 53ste.)

Ghostery legde bloot dat elke site trackers ingesteld heeft en daarmee dus data overdraagt aan partijen als Google, Tumblr en advertentiediensten die specifiek voor de sector werken zoals Pornvertising en DoublePimp.

Bovendien is in elke URL van de bovengenoemde pornowebsites een reeks woorden verwerkt die aanduidt waar de video over gaat, wat resulteert in links als deze: http://www.pornsite.com/view/embarrassing-form-of-… Deze links komen dus terecht bij derde partijen. Alleen websites als Pornhub en Redtube gebruiken een numerieke aanduiding in hun links.

"De URL is de basisvorm van informatie voor alle HTTP-verzoeken," vertelde privacyonderzoeker Tim Libert me, "dus iedereen die hun code in de site verwerkt (zoals Google en Tumblr) weet waar de kijker naar kijkt." Links waarin uitgebreide omschrijvingen staan, zijn daarmee een manier om je seksuele voorkeuren te categoriseren.

Een ander belangrijk punt is dat incognitomodus vrijwel niks doet om dit tegen te gaan; het bespaart je hooguit een gênante auto-complete in je browserbalk. Adverteerders en databrokers krijgen de informatie nog steeds.

Een ander punt is dat pornosites misschien niet heel erg geïnteresseerd zijn in je data. De gebruiksvoorwaarden van XVideos stellen bijvoorbeeld dat ze geen ongeregistreerde IP-adressen opslaan. Toch geven ze de data door, inclusief de gedetailleerde URL's, en het is dan ook niet duidelijk wat de derde partijen op hun beurt met deze informatie doen.

"Vanuit een technisch perspectief is het ongelofelijk moeilijk om volkomen anoniem te zijn op het web," vertelt Brookman. "We zijn per slot van rekening gebonden aan IP-adressen die door de administratie van de internetproviders aan onze naam te koppelen zijn.

"Op deze manier sporen overheden de mensen op die kinderporno distribueren," voegde Brookman hier aan toe. Het is daarnaast waarschijnlijk ook de methode waarmee de NSA de pornogewoontes van moslimmannen in kaart brengt. Op deze manier probeerden ze bekende terroristen van hun islamitische legitimiteit te ontdoen door hun seksuele interesses openbaar te maken.

Niet iedereen gelooft in het door Thomas geschetste doemscenario: Cooper Quintin van the Electronic Frontier Foundation zegt dat Thomas "de dreiging van databrokers die je online gedrag op de voet volgen verwart met de dreiging van hackers die accountinformatie lekken. Die beide dingen zijn mogelijk," maar Quintin noemt het idee dat de pornodata zomaar in de publieke sfeer gedumpt wordt overdreven.

"Een veel aannemelijker scenario is dat pornobedrijven gehackt worden en de creditcardgegevens bijvoorbeeld gestolen worden. "In dit geval zal de hacker de gegevens waarschijnlijk eerder doorverkopen dan openbaar maken om mensen voor gek te zetten," zegt Quentin. "Zorgelijker is het als databrokers de data van pornosites gaan combineren met data die je op andere plekken op het internet achterlaat."

Aangezien de brokers je data constant verzamelen en analyseren, kunnen ze eventueel ook gaan inschatten wat voor porno je graag kijkt, en de gevolgen van dit soort voorkennis zijn moeilijk in te schatten. "Ik denk daarom dat we wetten moeten aannemen die het lekken van data aan derde partijen inperken," zei Brookman.

Ondanks zijn dystopische voorspellingen is Thomas niet bezorgd over de toekomst. Hij ziet het einde van anonimiteit - ook als het aankomt op porno - als de nieuwe realiteit. "Jammer genoeg is anonimiteit niet verenigbaar met dingen als Javascript en het open web," zei hij. "Ik heb misschien geluk dat als mijn voorkeuren naar buiten komen ze in ieder geval bij de minder gênante helft horen."