<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Somebody’s Already Using Verizon’s ID to Track Users<br>
    <br>
    Twitter is using a newly discovered hidden code that the telecom
    carriers are adding to every page you visit – and it’s very hard to
    opt out. <br>
    <br>
    <a class="moz-txt-link-freetext" href="http://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users">http://www.propublica.org/article/somebodys-already-using-verizons-id-to-track-users</a>
    <br>
    <br>
    Twitter's mobile advertising arm enables its clients to use a
    hidden, undeletable tracking number created by Verizon to track user
    behavior on smartphones and tablets.<br>
    <br>
    <a href="http://www.wired.com/2014/10/verizons-perma-cookie/">Wired</a>
    and <a
href="http://www.forbes.com/sites/kashmirhill/2014/10/29/the-privacy-lowdown-on-verizon-and-atts-permacookies/">Forbes</a>
    reported earlier this week that the two largest cellphone carriers
    in the United States, Verizon and AT&T, are adding the tracking
    number to their subscribers' Internet activity, even when users opt
    out.<br>
    <p>The data can be used by any site – even those with no
      relationship to the telecoms -- to build a dossier about a
      person's behavior on mobile devices – including which apps they
      use, what sites they visit and for how long.</p>
    <p>MoPub, acquired by Twitter in 2013, bills itself as the "world's
      largest mobile ad exchange." It uses Verizon's tag to track and
      target cellphone users for ads, according to <a
        href="https://dev.twitter.com/mopub-demand/overview/openrtb">instructions
        for software developers</a> posted on its website.</p>
    <p>Twitter declined to comment.</p>
    <p>AT&T said that its actions are part of a test. Verizon says
      it doesn't sell information about the demographics of people who
      have opted out.</p>
    <p>This controversial type of tracking, known in industry jargon as
      <a
href="http://www.juniper.net/techpubs/en_US/junos-mobility12.1/topics/concept/httphe-mobility-overview.html">header
        enrichment</a>, is the latest step in the mobile industry's
      quest to track users on their devices. Google has proposed a new
      standard for Internet services that, among other things, would
      prevent header enrichment.</p>
    <p>People using apps on tablets and smartphones present a challenge
      for companies that want to track behavior so they can target ads.
      Unlike on desktop computers, where users tend to connect to sites
      using a single Web browser that can be easily tracked by
      "cookies," users on smartphones and tablets use many different
      apps that do not share information with each other.  </p>
    <p>For a while, ad trackers solved this problem by using a number
      that was build into each smartphone by Apple and Google. But under
      pressure from privacy critics, both companies took steps to secure
      these Device IDs, and began allowing their users to delete them,
      in the same way they could delete cookies in their desktop Web
      browser.</p>
    <p>So the search for a better way to track mobile users continued.
      In 2010, two European telecom engineers <a
        href="http://tools.ietf.org/id/draft-uri-acr-extension-00.txt">proposed
        an Internet standard</a> for telecom companies to track their
      users with a new kind of unique identifier. The proposal was
      eventually adopted as a <a
href="http://technical.openmobilealliance.org/Technical/technical-information/release-program/current-releases/rest-netapi-acr-v1-0">standard</a>
      by an industry group called the Open Mobile Alliance.</p>
    <p>Telecoms began racing to find ways to use the new identifier.
      Telecom equipment makers such as <a
href="http://www.cisco.com/en/US/prod/collateral/wireless/ps11035/ps11047/ps11072/solution_overview_c22-606224_ns973_Networking_Solution_Solution_Overview.html">Cisco</a>
      and <a
href="http://www.juniper.net/techpubs/en_US/junos-mobility12.1/topics/concept/httphe-mobility-overview.html">Juniper</a>
      began offering systems that allow the identifiers to be injected
      into mobile traffic.</p>
    <p>In the spring of 2012, AT&T <a
        href="https://www.google.com/patents/US20130273886">applied for
        a patent</a> for a method of inserting a "shortlived subscriber
      identifier" into Web traffic of its mobile subscribers and Verizon
      <a href="https://www.google.com/patents/US8763101">applied for a
        patent</a> for inserting a "unique identification header" into
      its subscriber's traffic.  The Verizon patent claims this header
      is specifically meant to "provide content that is targeted to a
      subscriber."</p>
    <p>Inserting the identifiers requires the telecom carrier to modify
      the information that flows out of a user's phone. AT&T's
      patent acknowledges that it would be impossible to insert the
      identifier into web traffic if it were encrypted using HTTPS, but
      offers an easy solution – to instruct web servers to force phones
      to use an unencrypted connection.</p>
    <p>In the fall of 2012, Verizon <a
href="https://www.verizonwireless.com/news/article/2012/10/verizon-wireless-privacy-policy.html">notified
        users</a> that it would begin selling "aggregating customer data
      that has already been de-identified" -- such as Web-browsing
      history and location -- and offered users an opt-out. In 2013, <a
href="http://www.att.com/gen/press-room?pid=24216&cdvn=news&newsarticleid=36458">AT&T
        launched</a> its version -- a plan to offer "anonymous AT&T
      data" to allow advertiser to "deliver the most relevant messages
      to consumers." The company also <a
href="http://www.attpublicpolicy.com/privacy/our-updated-privacy-policy-2/">updated
        its privacy policy</a> to offer an opt-out.</p>
    <p>AT&T's program eventually shut down. Company spokesman Mark
      Siegel said that AT&T is currently inserting the identifiers
      as part of a "test" for a possible future "relevant advertising"
      service. "We are considering such a program, and any program we
      would offer would maintain our fundamental commitment to customer
      privacy," he said. He added that the identifier changes every 24
      hours.</p>
    <p>It's not clear how much of a hurdle changing the identifier would
      present to a targeting company that was assembling a dossier of a
      user's behavior.</p>
    <p>Meanwhile, Verizon's service – Precision Market Insights – has
      become popular among ad tracking companies that specialize in
      building profiles' of user behavior and creating customized ads
      for those users. Companies that buy the Verizon service can ask
      Verizon for additional information about the people whose unique
      identifiers they observe.</p>
    <p>"What we're excited about is the carrier level ID, a higher-level
      recognition point that lets us track with certainty when a user,
      who is connected to a given carrier, moves from an app to a mobile
      Web landing page," an executive from an ad tracking company Run <a
href="http://www.adexchanger.com/mobile/run-ceo-on-using-verizons-precisionid-for-deterministic-mobile-solution/">told
        an industry trade publication</a>.</p>
    <p>And in a <a
        href="http://precisionmarketinsights.com/agenicespartnersbrands/">promotional
        video</a> for Verizon's service, ad executive Chris Smith at
      Turn, touted "the accuracy of the data," that the company receives
      from Verizon.</p>
    <p>But advertisers who don't pay Verizon for additional information
      still receive the identifier. A Verizon spokeswoman said, "We do
      not provide any data related to the [unique identifier] without
      customer consent and we change the [unique identifier] on a
      regular basis to prevent third parties from building profiles
      against it." She declined to say how often Verizon changes the
      identifier. </p>
    <p>The use of carrier-level identifiers appears to be becoming
      standard. Vodafone, a British telecom, says it inserts a similar
      identifier into some mobile traffic. A Vodafone spokesman said
      "Header enrichment is not our default operation and we do not
      routinely share information with the websites our customers
      visit."</p>
    <p>However, ProPublica found a handful of Vodafone identifiers in
      its logs of website visitors. That review also showed more than
      two thirds of AT&T and Verizon visitors to ProPublica's
      website contained mobile identifiers.</p>
    <p>And there appears to be no way to opt out. Last week, security
      engineer Kenn White noticed an <a
href="http://adage.com/article/digital/verizon-target-mobile-subscribers-ads/293356/">Ad
        Age news article</a> about Verizon's mobile marketing program
      and set up a test server to see if he was being tracked.  He had
      opted out years ago, but he noticed a strange identifier in the
      web traffic from his phone.</p>
    <p>His <a
        href="https://twitter.com/kennwhite/status/525110471733817344">tweets</a>
      sparked a flurry of <a
        href="https://news.ycombinator.com/item?id=8500131">discussion</a>
      of Verizon's actions on the Hacker News discussion board, and
      articles in the <a
href="http://arstechnica.com/security/2014/10/verizon-wireless-injects-identifiers-link-its-users-to-web-requests/">technology</a>
      <a href="http://www.wired.com/2014/10/verizons-perma-cookie/">press</a>.</p>
    <p>Software engineer Dan Schmads, an AT&T user, also tried to
      opt out. He found that he needed to visit four different webpages
      to opt out, including one web page not even on AT&T's domain:
      <a href="http://205.234.28.93/mobileoptout/">http://205.234.28.93/mobileoptout/</a>.
      But he continues to see the AT&T identifier in his mobile
      traffic.</p>
    <p>AT&T's Siegel told ProPublica that he appreciated the
      feedback on the difficulty of opting out and that the company
      plans to streamline the process before launching its service.</p>
    <p>"Before we do any new program, we'll give customers the
      opportunity to reset their mobile ID at any time," he said. "It
      would be like clearing cookies."</p>
    <p>Google has proposed a <a
        href="https://tools.ietf.org/html/draft-ietf-httpbis-http2-15">new
        Internet protocol</a> called SPDY that would prevent these types
      of header injections – much to the dismay of many telecom
      companies who are <a
        href="http://www.atis.org/openweballiance/index.asp">lobbying
        against it</a>. In May, a Verizon executive <a
href="http://www.atis.org/openweballiance/docs/OWAKickoffSlides051414.pdf">made
        a presentation</a> describing how Google's proposal could "limit
      value-add services that are based on access to header"
      information.<br>
    </p>
    <p><br>
      <br>
    </p>
    Ken<br>
    <br>
  </body>
</html>