Tag: privacy

Posted on

Doortrapt

kritisch kijkende honden

Inmiddels ben ik best wat gewend als het gaat om sneaky onderwater-spionage-gedrag van websites. Maar ik dacht eigenlijk dat ik mezelf daar behoorlijk tegen had beschermd. Toch ben ik pas weer even met beide benen op de grond gezet. En natuurlijk weer door Facebook, wie anders.

Op Facebook krijg je doorlopend mensen aangeboden als potentiële vrienden. Meestal zijn dat vrienden-van-vrienden of mensen met wie je een school, woonplaats of werkgever deelt. Tot een paar weken terug kon ik de voorgestelde mensen dus ook prima plaatsen (hoewel ik nooit een vriendschapsverzoek heb verstuurd). Maar… opeens verschenen allerlei zakelijke (LinkedIn-)connecties in de lijst! Die zag ik echt niet aankomen.

Natuurlijk heb ik meteen gezocht hoe dat kan zijn gekomen, op basis van wat ik weet van Facebook en zijn algoritmes.

  • Het meest voor de hand liggend: uit de contactenlijsten van mijn connecties, via de Facebook-app of uit Whats app, die toegang hebben tot je adressenboek? Maar in dit geval kan dat niet, want het e-mailadres waarmee ik mijn Facebook-account heb aangemaakt is volstrekt uniek en gebruik ik nergens anders voor.
  • Via mijn telefoonnummer dan? LinkedIn heeft die wel, maar Facebook heb ik hem nooit gegeven (net nog even gecheckt in mijn Facebook-archief), dus dat kan het ook niet zijn.
  • Via gedeelde connecties? Nee, zijn er niet.
  • Via locaties waar we allebei zijn geweest of scholen waar we allebei op hebben gezeten? Kan niet, ik heb geen locaties of scholen ingevuld.
  • Via gedeelde ip-adressen, dus dat je allebei vanaf hetzelfde ip-adres op Facebook komt? Nee, veel van die connecties heb ik al jaren niet meer gezien en wonen aan de andere kant van het land.
  • Omdat ze op mijn Facebook-profiel hebben gekeken? Lijkt me sterk, opeens allemaal zakelijke connecties tegelijkertijd. En daarbij laat Facebook kijkers op je profiel voor zover ik weet juist níet zien, om nieuwsgierige gluurders niet af te stoten.

Veel verder dan deze opties kwamen de reacties op dezelfde vraag op het Facebook-forum ook niet.

Eigenlijk is de enige relevante informatie die Facebook kan gebruiken om te zoeken mijn naam en bedrijfsnaam, de rest heb ik niet ingevuld. Het laatste wat ik nu nog kan bedenken, is dat Facebook met die gegevens in de hand is gaan zoeken bij andere social media en vervolgens mijn connectieslijst van LinkedIn heeft gekocht, om mij zo dieper het Facebook-moeras in te trekken.

Maar ik blijf zitten met vragen. Doet Facebook dat bij iedereen, of alleen bij mensen waarvan een algoritme vindt dat ze te weinig inloggen en posten? En waarom zou LinkedIn zijn pot met goud (de connectielijsten) verkopen aan de concurrent?

Hoe dan ook zou dit natuurlijk reden 1581 moeten zijn om Facebook definitief de rug toe te keren. Maar ja, hoe ontdek ik dan hoe doortrapt dit soort bedrijven in elkaar zit?

UPDATE: ik bedenk net nog een andere optie – de meest waarschijnlijke: een deel van mijn Facebook-vrienden heeft mijn telefoonnummer wél en zullen die aan Facebook hebben doorgespeeld als onderdeel van de “Handig! Een app!”-boobytrap.LinkedIn Sync

En vervolgens hebben de mensen die ik nu zie op Facebook waarschijnlijk via de LinkedIn-app hun connecties – en daarmee mijn telefoonnummer – (per ongeluk?) gesynchroniseerd in hun telefoon of tablet, waarna Facebook erbij kon en tadaaa: opeens kan mijn telefoonnummer in hun telefoon toch nog de match zijn. Brrrr…

En ook op Quora kwam dit antwoord op, maar dan andersom:

sync

 

Posted on

Bij Facebook gaan privacy en veiligheid écht niet samen

Vaak wordt er gezegd dat privacy en veiligheid niet samen gaan. Voor meer veiligheid moeten we nu eenmaal privacy opgeven. Er zijn voldoende redenen om te geloven dat dat niet klopt, maar de meeste mensen geloven dit helaas wel.

Facebook doet in ieder geval zijn best om de stelling te bewijzen.

Om mijn privacy te beschermen, leeg ik mijn cookies als ik mijn browser afsluit. Daardoor verklein ik de kans dat bedrijven een archief opbouwen van mijn gedrag. Ik vind dit zelf vrij normaal, hoewel het er wel voor zorgt dat ik altijd opnieuw moet inloggen bij sites. Maar dat heb ik er graag voor over.

Tegelijkertijd maak ik op zoveel mogelijk sites gebruik van twee-factor authenticatie. Nog steeds volgens mij één van de beste manieren om jezelf te beschermen tegen kaping van je e-mailaccount of je social media profielen. En daarmee dus belangrijk voor je online veiligheid.

Maar bij Facebook gaan die twee niet samen.

Facebook biedt wel de mogelijkheid dat ze een sms’je sturen als extra beveiliging bij het inloggen, net als DigiD dat doet. Die optie zit bij de Security Settings.facebook security 1Je kunt proberen het hokje aan te vinken, maar dan zegt Facebook doodleuk:

facebook security 2Wat ze eigenlijk zeggen is: “Ja dag, we gaan je toch zeker niet steeds sms’en als jij ons niet laat onthouden dat je op deze computer al eerder hebt ingelogd. Bekijk het lekker met je privacy-bewuste instellingen.”

Vooral het woordje “fix” is hierbij op een cynische manier grappig: je hebt je browser instellingen kapot gemaakt, nu moet je ze herstellen.

Maar goed, voor een bedrijf als Facebook, dat gedijt bij de onzorgvuldigheid waarmee we met onze persoonlijke informatie omgaan, was dit ook eigenlijk wel te verwachten.

Posted on

Webluis

Er zit nog behoorlijk wat levends in onze dooie digitale wereld. Zo heet een programma dat iets doet, wat jij niet wil een virus. En besturen we onze cursor met een muis.

Een minder bekend soort online ongedierte zijn de web bugs. De formele vertaling is webbaken, maar ik vind webluis een betere omschrijving: pixels of linkjes, die jouw klikgedrag vastleggen.

Niet schadelijk, maar het jeukt behoorlijk. Op internet vooral in de vorm van “gepersonaliseerde” advertenties van producten waar je ooit naar op zoek was.

Wil je zelf zien hoeveel webluis je tegen komt op internet, installeer dan de add-on Ghostery in je browser. Veel van de bedrijven die je ziet in het wolkje zijn webluisverspreiders. Een deel hiervan zet onzichtbare pixels op de websites die je bezoekt en volgt je via deze luizen over het hele internet.

Ghosterywolk op ad.nl

In de broncode van de pagina (hoe de website is geprogrammeerd, op te vragen via de rechtermuisklik als je op een pagina bent) ziet dat er ongeveer zo uit:

webbug in broncodeHet begint bij <noscript>: De website die jij bezoekt, vraagt een plaatje van 1 bij 1 pixel (height=”1″ width=”1″) op van b.scorecardresearch.com. Op dat moment maakt jouw computer contact met hun server, waardoor je bij dat bedrijf sporen achterlaat over bijvoorbeeld je ip-adres. Ook kunnen zij op dat moment een cookie bij je plaatsen of informatie toevoegen aan het cookie dat je al eerder (bijvoorbeeld op een andere website) van ze had gekregen. Zo kunnen dit soort bedrijven je over het hele internet volgen.

Maar ook in je mail kom je een hoop webluis tegen. Aan de ene kant via dezelfde soort taktiek: een bepaald plaatje uit de mail wordt opgevraagd van hun server, zodat je contact met ze moet maken en gegevens achterlaat. Aan de andere kant via unieke linkjes in de mail zelf.

Ook dit kun je makkelijk met eigen ogen zien, als je weet wat je op moet letten. Open bijvoorbeeld eens een willekeurige nieuwsbrief van een groot bedrijf in je mailbox en ga met de muis boven één van de linkjes hangen. Linksonder in beeld (in de statusbalk) zie je waar je naartoe wordt gestuurd. In dit linkje zie je waarschijnlijk een reeks cijfers en letters staan, die terugkomt als je gaat hangen boven andere linkjes in diezelfde mail. Dat is je unieke luis-code, zodat het bedrijf aan het aangeklikte linkje kan zien dat jij het bent.

Dit is bijvoorbeeld een linkje in mijn Kathmandu-nieuwsbrief:
webbug in mailHet stuk achter de e= is -voor zover ik het heb kunnen achterhalen- mijn kathmandu-luiscode.

Dit soort luizenstreken zijn natuurlijk mooi voor bedrijven om te leren waarin je geïnteresseerd bent. Maar het is minder mooi voor de mensen die online jeuk willen vermijden. In ieder geval weet je nu waar je op kunt letten.

Posted on

Je ziel en zaligheid in ruil voor wifi

Zojuist ontdekte ik weer een verbijsterend bedrijf: Sowifi.com. Zij geven organisaties de mogelijkheid om “gratis wifi” aan te bieden aan klanten.

Sowifi reclame

Je hoeft als klant voor gebruik van de wifi alleen maar even het bedrijf waar je bent te liken op Facebook. Oh, en natuurlijk toegang geven tot al je gegevens. Oók je vriendenlijst, óók je e-mailadres, óók je statusupdates.

Sowifi-en-FacebookSowifi-en-Facebook2

Geen Facebook? Een e-mailadres werkt ook. Maar die moet wel kloppen. En deze optie wordt een beetje ontmoedigd. Want zo’n compleet FB-profiel is natuurlijk veel waardevoller.

En naast deze persoonlijke gegevens wordt ook nog opgeslagen: het besturingssysteem op je computer, je gebruikte browser én je MAC-adres (het unieke nummer dat is gekoppeld aan je netwerkkaart – zoiets als je IMEI van je mobiele telefoon, maar dan voor computers), las ik in het privacyreglement. Het kan niet op.

SoWifi geeft op hun website hoog op van de mogelijkheden voor ondernemers: je kunt real time zien wie er in je café, winkel of restaurant aanwezig is. En daarna kun je ze blijven spammen met FB-berichten of e-mails. Superdeal! Maar is het dat ook voor de klanten?

In de gebruiksvoorwaarden van SoWifi kun je lezen dat die collectie van deels zeer persoonlijke gegevens door SoWifi je “inloggegevens” worden genoemd. En natuurlijk stem je door gebruik van de dienst helemaal vrijwillig in met doorverkoop van al deze gegevens aan derden. Onbeperkt. Dat staat in het privacyreglement, waar maar één klein linkje naartoe te vinden is. Lekker stereotyp.

Mocht je trouwens verwachten dat je in ruil voor toegang tot de digitale variant van je volledige privé-leven in ieder geval goed beveiligde wifi krijgt, dan kom je van een koude kermis thuis. Je blijft zitten met totaal onbeveiligde wifi. En wat helemaal bizar is: als ondernemer betaal je ook nog eens €35,- per maand voor deze dienst!

Waar is de tijd gebleven dat je op Facebook op “vind ik leuk” klikte omdat je iets leuk vond? En dat je met de aankoop van je kopje koffie meteen ook betaald had voor gebruik de wifi?

Posted on

Het gelijk van de aluhoedjes

Als je bezig bent met internet, kun je niet blind zijn voor de negatieve kanten. Dus kijk ik graag op websites als Security.nl, het onderdeel Threat level van Wired of het Security onderdeel van Computerworld.

Wat me vanaf het begin opviel bij de reacties van lezers op vooral Security.nl was de grote groep aluhoedjes: mensen die leken te leven in één groot complot van corrupte overheden en criminele bedrijven. Om hun informatie te beveiligen gebruikten ze heftige combinaties van beveiligings- en versluieringstechnieken, die volgens mij je internetervaring behoorlijk om zeep helpen. Combinaties van TOR, VPS’s, openbare wifi en een grote collectie privacy-verhogende add-ons zijn onder deze gebruikers geen uitzondering.

Dus deze mensen zijn bereid om nooit meer prettig en snel te kunnen internetten, puur om uit de systemen van de Facebooks en NSA’s van deze wereld te blijven. Wow.

Lange tijd had ik wat moeite met hun ideeën: was het niet allemaal overmatig paranoïde? Waren dit misschien dezelfde mensen als de 9/11-ontkenners, de chemtrail-gelovigen en de Demmink-heksenjagers?

Maar inmiddels blijken de Security-reaguurders behoorlijk gelijk te hebben gehad: langzamerhand wordt duidelijk dat inderdaad in potentie al je internetverkeer wordt afgetapt, geanalyseerd en in databases terecht komt. Niet alleen in Amerika, maar ook gewoon in Nederland.

Cartoon the Joyoftech.comData die, als je pech hebt, nooit meer verdwijnt en waaruit volledig verkeerde conclusies kunnen worden getrokken.

Boston globe Dan Wasserman cartoon big data juni 2013Misschien moet ik me toch ook eens gaan verdiepen in die chemtrails.