skip to Main Content
020 895 0314 info@pingwin.nl
spam

Je wilt de bezoeken op je website meten, dus je gaat naar Google Analytics en vraagt een code aan. Die code ziet er als volgt uit: UA-111111111 (ieder nummer is uniek). Dat UA nummer is jouw “klantennummer” bij Google Analytics. Die code, toegevoegd aan een stukje Javascript, wordt op je website geplaatst. En wanneer iemand dan jouw site bezoekt, roept hun browser dat stukje Javascript aan. Het Javascript zorgt ervoor dat de bezoeken worden geregistreerd. Het zorgt ervoor dat de browser van de bezoeker contact maakt met Google Analytics. Om precies te zijn zorgt het voor bepaalde soorten HTTP verzoeken die Google opslaat. En Google Analytics koppelt weer een gedeelte van die informatie aan jou terug via het Analytics dashboard.

Duidelijk toch? Maar…als alles dat er nodig is een stukje Javascript is, dan kan iedereen dat nabootsen. Echt iedereen. Om jouw Google Analytics valse informatie te laten zien kan ik die valse informatie direct naar Google Analytics sturen. Ik hoef je website niet eens te bezoeken! Ik hoef helemaal geen Javascript te draaien. Ik moet alleen die HTTP verzoeken reproduceren, en die zijn voor iedereen inzichtelijk. Ze zijn zelfs redelijk goed gedocumenteerd, door Google zelf.

Dus…laten we zeggen dat ik een spammer ben. En ik wil dat mensen mijn spamsite zien. Wat moet ik doen? Ik schrijf een klein stukje code om vervolgens duizenden en duizenden van deze valse HTTP verzoeken te sturen naar Google Analytics. En ik gebruik daarbij alle UA-nummers. Op volgorde of niet, het maakt niet uit. Ik stuur een nepbezoek, met een nepreferrer, en mijn spamdomein. En je raadt het al. Jij ziet dit als echte bezoeken in jouw Google Analytics Dashboard.

Jij ziet deze spam als ieder ander bezoek. Want volgens Google Analytics was dit ook een gewoon bezoek. Want Google registreert alle HTTP verzoeken die normaliter door de Google Analytics Javascript code worden gegenereert.Want een verzoek is een verzoek, en een vals verzoek maken is heel erg makkelijk.

Dus dat is wat er gebeurt. Als ik een spammer zou zijn heb ik alleen jouw UA nummer nodig. En door een klein beetje mijn best te doen kan ik een bezoek nabootsen zonder überhaupt op jouw site te komen. Dat valse bezoek kan iedere domeinnaam en referrer hebben die ik wil.

Dit is een probleem binnen Google Analytics, om bepaalde spamsites te promoten. Het heeft geen zin om dit te blokkeren op jouw server, omdat je server er helemaal buiten staat.

Het is te hopen dat Google snel actie gaat ondernemen!

Back To Top
Zoeken