Zoveel informatie over jou ligt op straat
Auteur: Bart de Koning |
13-04-2011
| Reacties: 1
|
 Mail dit artikel
Surfen, internetbankieren, chatten, e-mailen, online kopen en reizen boeken, inloggen bij de fiscus: veel mensen staan er niet bij stil hoeveel informatie over zichzelf ze uitstrooien op internet. Koppel wat online informatie aan elkaar en je weet bijna alles van een persoon.
Vorig jaar september had Mark Sedney problemen met inloggen op zijn T-Mobile account. Hij kon zijn facturen niet downloaden. Lastig, want Sedney is zelfstandig ondernemer en zijn bedrijf, een audiovisueel communicatiebureau, drijft zo'n beetje op social media als Facebook, LinkedIn en Twitter en is dus kwetsbaar voor internetstoringen. Sedney twitterde wat heen en weer met het webcare team van T-Mobile, maar er gebeurde niets. Totdat het team hem de volgende tweet stuurde: ‘Kun je het nog een keer proberen met gebruikersnaam X en wachtwoord Y.' Het webcare team had alleen een klein foutje gemaakt: in plaats van een ‘direct message' aan hem, hadden ze een ‘mention' gestuurd aan zesduizend mensen.
Al een paar minuten later kreeg Sedney een mailtje van T-Mobile: ‘Gefeliciteerd met de verlenging van uw abonnement!' Een onbekende had ingelogd onder zijn naam en had zijn abonnement veranderd. Andere onbekenden vroegen hem hoe zijn reis naar Maleisië was bevallen en hoe het toch zat met de post ‘overige kosten' in zijn administratie. Omdat nu kennelijk al zijn gegevens op straat lagen, nam Sedney een advocaat in de arm. Dat bericht werd weer opgepikt door De Telegraaf en GeenStijl, dat onder de kop ‘webcare slachtoffer gaat T-Mobile slopen' aandacht besteedde aan zijn zaak. Toen brak er pas echt een digitale storm los. Verschillende reaguurders dachten dat de ondernemer er een slaatje uit wilde slaan en scholden hem uit voor ‘ordinaire graaier' en ‘hondenlul'. Termen die vervolgens weer opdoken toen hij zijn naam googelde. Niet echt prettig voor een ondernemer, en bovendien ten onrechte: Sedney wilde niet claimen, hij wilde alleen juridisch advies.
De onverwachte kanten van online privacy
De lotgevallen van Mark Sedney maken duidelijk hoe belangrijk online privacy is - en dat er onverwachte kanten aan zitten. Een groot deel van ons zakelijke en privéleven verloopt inmiddels digitaal, maar veel mensen staan er nauwelijks bij stil hoe kwetsbaar ze eigenlijk zijn, hoeveel er digitaal op het spel staat en hoeveel er digitaal over ons is opgeslagen. Ook mensen die zelf online geen gekke of domme dingen doen, kunnen ernstig in de problemen komen. Veel Nederlanders lijken te denken: ‘Wie niets te verbergen heeft, hoeft nergens bang voor te zijn', maar dat is een ernstig misverstand. Iederéén heeft dingen te verbergen - denk aan je administratie, je belastingaangiftes, je privéfoto's of je uitgavenpatroon. En daarin zijn heel wat mensen geïnteresseerd: variërerend van respectabele partijen zoals de fiscus tot regelrechte oplichters, met daartussenin een breed scala aan internetbedrijven met zeer uiteenlopende opvattingen over bedrijfsethiek. Informatie is goud waard: voor de overheid om je te controleren als belastingbetaler of potentiële terorrist, voor bedrijven om je te kunnen oormerken als al dan niet aantrekkelijke klant. Het punt is dat die informatie ons leven op een subtiele manier steeds meer gaat bepalen, zonder dat we daar zelf nog invloed op hebben. Veel reclame die opduikt tijdens het surfen is toegesneden op het eigen profiel en de locatie van de computeraar. Dat kan prettig zijn als je een restaurant zoekt, maar ook beklemmend als je op grond van je postcode (bijvoorbeeld Amsterdam-Zuidoost) automatisch in een hogere risicocategorie terechtkomt.
‘Het is geen toeval dat als je op Google zoekt naar "hogedrukspuit", je dan op andere websites die je bezoekt reclames te zien krijgt van hogedrukspuiten', zegt Ot van Daalen, directeur van digitale burgerrechtenbeweging Bits of Freedom. Veel mensen halen daar hun schouders over op en denken: prima toch, als Google dat bijhoudt. ‘Maar wat als je zoekt naar "geslachtsziekte" en je familie daarmee geconfronteerd wordt als ze je computer aanzetten?' zegt Van Daalen. ‘Of als je googelt op "Aruba" en vervolgens de prijzen op vliegticket.nl omhooggaan?'
Sommige bedrijven gaan heel ver in het verzamelen van informatie over gebruikers. Een berucht voorbeeld is Phorm, een Amerikaans technologiebedrijf dat een paar jaar geleden in opspraak kwam omdat het zeer gedetailleerde profielen bleek te maken van Britse internetgebruikers. Phorm gebruikte daarbij onder andere ‘deep packet inspection', een techniek om ook de inhoud van het internetverkeer te controleren. Het is vergelijkbaar met het virtueel openstomen van enveloppen en pakketjes, ze inspecteren en dan weer doorsturen. ‘Dat is echt afluisteren aan het draadje van de computer', zegt Van Daalen. De Europese Commissie heeft zelfs een procedure aangespannen tegen het Verenigd Koninkrijk, omdat Brussel vindt dat de Britse regering niet genoeg doet om haar eigen onderdanen te beschermen tegen deze vergaande vorm van spionage.
Maar ook een bedrijf als Facebook leeft van het doorleveren van informatie van gebruikers aan bedrijven. Zolang gebruikers daar toestemming voor geven en het openlijk gebeurt, is er weinig aan de hand. Mazda verkocht bijvoorbeeld in januari via een gerichte kortingsactie op Facebook honderd sportauto's van het type MX5. Het probleem met Facebook is dat er veel privégegevens van gebruikers commerciëel gebruikt worden, ook als de gebruikers dat niet willen. En veel app's, zoals de spellen Texas HoldEM Poker en Farmville, verschaffen zich toegang tot iemands gegevens, zelfs als die zijn afgeschermd. In de Verenigde Staten hebben ouders al procedures aangespannen tegen bedrijven als Disney en Warner Bros. omdat de cookies die de sites van die bedrijven achterlaten het complete surfgedrag van hun kinderen vastlegden. Dat zijn niet uitsluitend ‘Amerikaanse toestanden'. In Nederland ligt ABN Amro onder vuur omdat de cookies die de bank achterlaat op de computers van klanten meer informatie registreren en doorgeven dan nodig is voor internetbankieren. Er zijn nog meer technieken om ongemerkt kostbare informatie binnen te hengelen. Achter veel onschuldig ogende testjes, zoals www.jeechteleeftijd.nl, www.wordikrijk.nl en www.meervoorminder.nl zit bijvoorbeeld het Hilversumse onderzoeksbureau Advance Media, dat van miljoenen Nederlanders gedetailleerde persoonsgegevens verzamelt. In die enquêtes worden vaak zeer intieme vragen gesteld, over seksuele gewoontes, erfenissen en werk en carrière. Gecombineerd levert dat gedetailleerde profielen op, waar bedrijven graag voor betalen.
Kinderlijk eenvoudig om informatie te vinden
Vaak is het trouwens kinderlijk eenvoudig om gevoelige informatie over mensen te vinden. De belastingdienst vergelijkt bijvoorbeeld profielen op Facebook, Hyves en LinkedIn met de gegevens in de aangifte. Dat levert een interessant dilemma op: veel mensen hebben de neiging om hun profiel te ‘pimpen', maar lopen zodoende het risico zwaarder aangeslagen te worden dan eigenlijk gerechtvaardigd is.
Daarbij geven we dikwijls meer informatie prijs over onszelf dan we weten. Iedereen snapt dat je besmet kunt raken met akelige cookies en malware als je in de krochten van het internet op zoek gaat naar porno en dat je niet moet reageren op e-mails van Nigeriaanse investeerders, Oekraïense schonen met trouwplannen en aanbiedingen voor Viagra. En wie de laatste tijd een beetje heeft opgelet, weet ook dat het perfect uitziende waarschuwingsmailtje van de bank, dat volgt op de dubieuze Nigeriaanse aanbieding, waarschijnlijk gestuurd is door diezelfde Nigerianen.
Maar hoeveel mensen hebben er goed opgelet toen ze KaZaA, eMule of Limewire installeerden? Het aardige aan peer to peer-software is natuurlijk dat je gratis de laatste films en muziek kunt downloaden van andere privécomputers. In ruil daarvoor mag die p2p-software ook jouw eigen harde schijf doorzoeken. Wie daarbij zijn bestanden niet goed afschermt, zet in feite zijn hele computer wagenwijd open. Ethisch hacker Jeroen van Beek van Dexlab doorzoekt bij wijze van experiment op grote schaal wereldwijd privécomputers die zijn aangesloten op p2p-netwerken. Hij zoekt daarbij gericht met trefwoorden, zoals ‘pass-port', ‘paspoort' en ‘pasaporte'. Hij heeft inmiddels een indrukwekkende verzameling digitale kopieën van paspoorten binnengehaald. Zo'n kopie - per email gestuurd - is voor veel bedrijven en instanties even goed als een echt paspoort en leent zich prima voor identiteitsfraude, bijvoorbeeld om op andermans naam een rekening te openen of een abonnement te nemen.
Identiteitsdiefstal wordt nog makkelijker in combinatie met het burgerservicenummer (BSN), omdat overheid en bedrijfsleven daar steeds meer databanken mee aan elkaar koppelen. Het is dus nogal privacygevoelig, maar de overheid verspreidt het kwistig. Handig voor dubieuze kredietbureautjes en privédetectives die het BSN gebruiken om bijvoorbeeld illegaal telefonisch informatie over mensen los te peuteren bij instanties. Digitaal zijn er ook leuke dingen mee te doen. Zo zoekt Van Beek online naar bestandsnamen met daarin het BSN gevolgd door .ibd, de standaard bestandsnaam van digitale belastingaangiftes. Ook die zeer privacygevoelige informatie van nietsvermoedende internetters tovert hij moeiteloos op zijn scherm, inclusief de bijbehorende DigiD. Van Beek kan dus inloggen als die belastingbetalers. Rond deze tijd van het jaar stromen de digitale belastingstukken van wildvreemde Nederlanders via zijn servernetwerk binnen. ‘ Wil je er een paar hebben? U vraagt, wij draaien', zegt Van Beek. Hij bluft niet, want een paar minuten later komt er een kant-en-klare aangifte via de mail binnen. Inclusief inkomen
(€ 63.819,-) en spaargeld en beleggingen (samen € 70.478,-) Wel allemaal keurig anoniem gemaakt. ‘Zet je er wel even bij dat ik een heel nette jongen ben, een éthische hacker?'
In zijn digitale sleepnet zitten ook bestanden met namen ‘password.xls', van een gebruiker die al zijn wachtwoorden in één Excel-bestand had opgeslagen. Daarnaast heeft Van Beek digitale kopieën van aangiftes bij de politie gevonden. Riskant, omdat criminelen daarmee naam en adres kunnen achterhalen van mensen die aangifte tegen hen hebben gedaan. Nu is Van Beek een ethische hacker die zijn buit gebruikt om mensen bewust te maken van de risico's. Maar hij logt ook de IP-adressen van de documenten die hij binnenhaalt. ‘Een relatief groot aantal paspoorten is afkomstig van één IP-adres in Rusland. Dat zal dus ook iemand zijn die paspoort-scans verzamelt.'
Wat weet de overheid door bestandskoppeling
Iedereen is het er uiteraard over eens dat privégegevens niet in handen mogen vallen van criminelen. Maar over de principiële voor- en nadelen van de datahonger van bedrijven en overheid zijn de meningen verdeeld. Dat bedrijven en instellingen je profiel kennen is vaak prettig, bijvoorbeeld door precies de juiste muziek of boeken aan te raden. Dat de fiscus tegenwoordig de belastingaangifte vooraf al online heeft ingevuld is ook een leuke verrassing - totdat je beseft wat de overheid kennelijk allemaal al van je weet door bestandskoppeling. En bedenk wel: als er fouten in zitten, ligt de bewijslast nog steeds bij de burger. Profielen zijn leuk, totdat je aan de verkeerde kant van de streep terechtkomt en zonder toelichting een aanvraag voor een lening of telefoonaansluiting geweigerd wordt. Het grootste nadeel van de enorme datahonger is dat mensen de greep over hun eigen identiteit kwijtraken.
Daarover woeden nu overal ter wereld principiële discussies, in Washington, Brussel maar ook in Den Haag. Zo ligt er nu een nieuwe Telecomwet bij de Tweede Kamer, die onder andere moet gaan regelen in hoeverre overheid en bedrijfsleven internetverkeer mogen controleren en afknijpen. Er is volgens Ot van Daalen ‘een enorme lobby van marketeers' die het be-
spioneren van internetgebruikers mogelijk wil blijven maken. ‘De Tweede Kamer moet nu voet bij stuk houden', vindt Van Daalen. Bits of Freedom is op zich niet tegen het gebruik van data van gebruikers, maar, zo zegt Van Daalen: ‘Mensen moeten zélf kunnen beslissen of ze hun privégegevens willen verkopen aan bedrijven.'
Zo lang de overheid de bescherming van privacy niet goed heeft geregeld, zal de computeraar vooral zelf moeten opletten. De site van Bits of Freedom bevat een aantal adviezen om je computer en je privégegevens te beschermen. Ethisch hacker Jeroen van Beek heeft ook een paar nuttige tips. ‘Gevoelige informatie moet je meteen op een usb-stick zetten. Wat niet op je computer staat, kan ook niet worden gestolen. Verder is de pornoknop in je browser heel handig als je dingen zoekt waarvan je niet wilt dat het in je zoekprofiel terechtkomt.' De ‘pornoknop' is een optie in het menu waarmee je je recente zoekgeschiedenis kunt wissen, inclusief de cookies die daarbij geplaatst zijn. Dat is niet alleen handig voor mannen die niet willen dat hun vrouw ziet welke sites ze bezocht hebben, maar voor iedereen die om wat voor reden dan ook geen zin heeft om gevolgd te worden. Jezelf goed beschermen op internet is iets meer werk, maar wel van groot belang, vindt Van Beek: ‘De balans tussen gebruiksgemak en privacy mag best iets meer richting privacy.'
Illustratie: Martin Dijkstra
Wellicht ook interessant:
Meer artikelen in de rubriek
'Jezelf online profileren'
Reageer, print of deel dit artikel
Reacties op dit artikel:
Ferdinand De La Soie | 13 april 2011 (13:11)
"Zo lang de overheid de bescherming van privacy niet goed heeft geregeld, zal de computeraar vooral zelf moeten opletten." Typisch Nederlandse conclusie... terwijl de daadwerkelijke conclusie toch zou moeten zijn, dat zelfs als er regels zijn die door de techniek en handige lieden toch wel worden gebroken. De Nederlandse overheid zal echt nooit met succes kunnen voorkomen, dat zo'n P2P-programma je paspoort en je belastingaangifte te grijpen gooit. Toch past ook daar weer een nuance bij. Ik heb dat soort zooi niet meer opmijn computer staan, maar ik meen mij toch te herinneren, dat je kan instellen welke mappen toegankelijk zijn. Doe je dat niet, dan loop je inderdaad het risico, dat je de hele wereld op je paspoort trakteert. Het klassieke advies is nog steeds RTFM.
|
