Weblogs zijn een bedreiging voor uw privacy

Uitroepteken op verkeersbordDat internet en privacy op gespannen voet staan, weet inmiddels menigeen. Maar vaak wijst men dan als eerste naar een overheid die misbruik maakt van haar rechten gegevens op te vragen. Of naar de Verenigde Staten die met Echelon heel uw leven volgt.
Maar de bedreiging van uw privacy kan ook uit een heel onverwachtse hoek komen, namelijk van ons.

In het volgende verhaal zijn alle gegevens verhaspeld. Maar ze zijn wel gebaseerd op daadwerkelijke gebeurtenissen.

Vrijwel iedere website, dus ook een weblog, maakt gebruik van statistiek. Vooral om te zien hoeveel mensen er nou langskomen. Maar vaak ook om te zien waar ze nu precies vandaan komen. Dan kan je bijvoorbeeld zien wie er over je schrijft. In het Engels zijn dit de “Referrers”.
Heel af en toe zit er wel eens een bijzondere referrer tussen. Bijvoorbeeld van iemand die in Google Docs een documentje heeft met allerlei voor hem handige linkjes. Linkjes die hij (of zij natuurlijk) met enige regelmaat gebruikt.
Wij zien in onze statistiek dat iemand via zo’n link binnenkomt. En nieuwsgierig als we zijn, kijken we dan even. Soms is zo’n document niet goed afgeschermd en dus ook voor ons leesbaar. Zo ook recent.
Leuk voor ons ego om te zien dat we in iemands favorieten bestand staan. We zouden het hierbij kunnen laten. Maar de techniek staat ons toe om te zien vanaf welk IP adres deze persoon is binnengekomen. Ah, dat is spannend, het Ministerie van Financiën! Eens even verder snuffelen.

In zijn document staan nog meer linkjes namelijk. Naast veel gebruikelijke naar nieuwssites en andere weblogs (waarom eigenlijk) ook een paar specifieke sites die kennelijk over het werk gaan. De aard van de linkjes geven al snel aan dat de persoon in kwestie over beleid gaat, maar vooral ook de management kant interessant vindt.
Oh, en hij is op zoek naar een andere baan zo te zien.
Verder staan er een aantal linkjes in onder het kopje “vrienden/familie”. Dat zegt dus nog wat meer over de identiteit van deze persoon. Leuk ook om te zien dat hij waarschijnlijk rekeningen heeft bij de AbnAmro en de Triodos Bank en verder met Fundix belegt. Daar kunnen we later mee aan de slag.
We vormen nu dus al een aardig profiel van de persoon. Uit ons reactie-bestand kunnen we, indien hij actief is geweest, misschien nog wel een voornaam halen.
Daarna wordt het geduldig wachten. Als deze persoon namelijk dit google documentje gebruikt als bookmarkbestand op zijn werk, zou het ook zomaar kunnen zijn dat hij dit ook doet vanaf zijn huis.
En ja hoor, nog geen zeven uur later is het raak. In de referrers komt hetzelfde documentje weer voorbij. Dit keer vanaf een ander IP-adres. Via whois zien we al snel dat hij in Voorburg woont. Met de familienaam die we konden afleiden uit de andere linkjes vinden we al snel via het telefoonboek slechts twee personen die aan het profiel voldoen.

En hier stoppen we.
Maar hier stopt iemand anders misschien niet. Ik ga niet uitleggen hoe het precies kan, maar het is vanaf dit punt niet heel moeilijk om iemands identiteit te kapen en bijvoorbeeld zijn bankrekening over te nemen. Of stel dat de persoon in kwestie een hoge functie blijkt te hebben bij het ministerie. Niet zo moeilijk om van die informatie dan ook weer gebruik te maken om iemand te zieken of bepaalde zaken te regelen.
Ineens bent u van schijnbaar anonieme websurfer overgegaan naar slachtoffer van moderne criminaliteit. Uw privacy bleek een illusie.

Daarom aan iedereen die dit leest, wees voorzichtig. Hoe onschuldig het soms ook lijkt wat u doet, alle informatie kan misbruikt worden.

  1. 3

    Of te lezen…..

    Hoewel ik die kans niet zo groot acht, vind ik toch dat je dit maar beter kan zeggen. Wel zo netjes om mensen te laten zien wat er kan, ook bij ons.
    Hoe hard wij ook zullen roepen dat we daar geen misbruik van zullen maken natuurlijk.
    Maar dan neem je tenminste geïnformeerd het risico.

  2. 12

    Steeph,

    Volgens mij heeft dit blog meer bezoekers dan mijn site. Mijn logs zijn al een hoop data waar ik nauwelijks naar kijk (Zeker als er er geen problemen zijn) Hoe zie jij zo snel dat je een bijzonder referer hebt?

  3. 13

    Moet je nagaan Steeph. Met gevaar voor eigen leven kom ik toch graag regelmatig even buurten in je digitale café.

    Waarvoor mijn complimenten overigens. Altijd erg origineel en informatief.

  4. 14

    Het is zwaar simpel inderdaad als je weet hoe. Maar het gaat ook uit van toevalstreffers hoor. Men moet maar net niet weten hoe beveiliging werkt en het is een mooi pleidooi tegen het opslaan van documenten online.

    Waar mensen vandaan komen en waar ze werken is ook interessant, ik vermaak me er ook wel eens mee.

    Mensen bewuster maken wat ze online zetten helpt denk ik het meeste nog. Via hyves en de myspacen kan je meeste informatie wel vandaan halen.

  5. 15

    En weblogs? Dit heb je met alle sites tenzij je het afzet of firewalled, maar dan loop je hier tegen de merites van Bad Behavior op ( schande! ). Traceroutes en dergelijke weten meestal ook wel locaties te raden. Die titel klopt niet helemaal dus. Alhoewel je bij blogs meestal als extra de nick te pakken krijgt om verder onderzoek te doen.

  6. 17

    Dit lijkt wel een Zembla-uitzending. Onwetenheid gebruiken voor bangmakerij. Ik hoor de pianotoetsen achter de tweede en derde alinea en zie het inzoomen van de camera op een vaag beeldscherm al voor me.

    Niet persoonlijk bedoeld hoor Steeph. Maar ik verwacht eigenlijk links naar sites over anoniem surfen of voor mijn part een link naar netgedrag voor dummies.

  7. 18

    @Toni: Ik ben een data-junk.

    @Basszje: Volgens mij leek me dat ook wel duidelijk uit dit stuk.

    @Joy: Bangmakerij? Nee, dat was niet mijn intentie. Attenderen. Merkte dat er recent te weinig aandacht voor was. Een actuele situatie triggerde dit (zoals dat vaak gaat op een blog).
    En nee, ik had geen zin in linkjes geven. Mensen die in staat zijn Sargasso langere tijd te volgen, zijn ook prima in staat die informatie zelf te vinden. Ben toch geen nanny.

  8. 21

    @larie: nee, daar word je gelukkig van. Met al die reclame. En wat leggen zij vast?

    Ik ga binnenkort vast weer een heel optimistisch, uitdagend, leuk, mooi stuk schrijven. Heus. Mijn therapeut zegt dat ik het kan. Als ik er maar in geloof. En zijn rekening betaal.

  9. 24

    @16:

    En zelfs dat is rap aan het afnemen met huidige mobieltjes, hotspots en rfid technologie. Wedden dat binnen 5 jaar abri’s gepersonaliseerde reklame kunnen tonen?

  10. 28

    Vraagje: als je een pic op een log plaatst en niet uitlogt bij photobucket o.i.d…is het dan in principe kwaardaardig struinen geblazen?

    Goed, en je hoeft nog niet eens te grazen zijn genomen om voorzichtig te zijn. Er rijden op dit moment criminelen met allerlei elektronica in auto’s rond die vrij eenvoudig inbreken/ intappen op draadloos netwerk(en). En van alles wat door een draad gaat? Tell me. Alles is te kraken, geen illusie. Echt belangrijke zaken gewoon afgesneden houden van de buitenwereld.
    Nou had ik sowieso niks te verbergen…

    Hoewel..kom soms (per ongeluk) nog wel eens op sites dat je zegt van, en ik hou het maar netjes …hmm…ik wist niet dat dit bestond. Wat staat die lenige vrouw in dat strakke latex- pakje daar toch streng te rammen met die plank..en die vent in dat leren tuigje maar onderdanig gek hard liggen jammeren met dat balletje in z’n mond…alsof ie het lekker vindt…

    Dacht, laat ik maar bekennen…hou ik mijn goede naam tenminste nog hoog…

    Als voorbeeld dan he..niet echt…

  11. 29

    “Ik ga niet uitleggen hoe het precies kan, maar het is vanaf dit punt niet heel moeilijk om iemands identiteit te kapen en bijvoorbeeld zijn bankrekening over te nemen.”

    Steeph heeft gevoel voor drama! Zo gemakkelijk gaat dat echt niet… Maar het lijkt me wel goed om voorzichtig te zijn.

    Maar goed, I dare you… Kaap één van mijn rekeningen!

  12. 30

    In mijn ogen is het zeer juist hoe u op de diepgaande tentakels van alle contact via het internet wijst. Toch wil ik eraan toegeven dat het internet geen extralegale ruimte vormt. Ook hier is het mogelijk om tegen een misbruik van het recht op privacy gebruik te maken van zijn afweerrechten. Vele gebruikers (zowel auteurs als lezers van blogs) blijken hier niet van op de hoogte met alle gevolgen vandien. De preventieve werking van de rechtsregels blijkt in het wereldwijde net veel minder effectief te zijn.

    Goede groet,

    Dr. jur. Rudy Pladijs

  13. 31

    Steeph heeft vast ook die uitzending daaromtrent gezien Spuyt…”iemands identiteit kapen en bankrekening over nemen”..draadloos…peace-of-cake…

  14. 32

    Pies of keek ? Enfin, laat maar.

    Het zijn niet de blogs; het is google. Het is ongelooflijk wat je allemaal over iemand kan vinden met google.

    – hobbies
    – adres
    – telefoonnummer
    – Satellietfoto van z’n huis
    – Meisjesnaam van z’n vrouw
    – Bedrijven waar hij gewerkt heeft
    – Diverse email adressen
    – IP nummers
    – Kaartje van zijn woonplaats
    – Foto’s gemaakt in de straat waar hij woont
    – NAW gegevens familieleden
    – Foto’s familieleden
    – Stamboom van zijn familie tot 400 jaar terug
    – Supermarkten waar hij boodschappen doet.
    etc.

    Je kan zo iemands identiteit overnemen en zijn bankrekening plunderen. Draadloos. Maar dat zou niet netjes zijn. Niet doen dus.

    Groeten,

    Rollator Dude

  15. 33

    Hey dude..er zat misschien iemand met z’n voet op de draad qua kink…of je reed lek met je rollator en was over het stuur in je mandje gelazerd…

    Draadloos vanuit rondrijdende auto compleet strippen…pies of keek….

    “Laat maar”? Dream-on.

  16. 34

    Doordat een collega een foutje heeft gemaakt in een bericht op een groot forum (iets als FOK) (het verwijzen naar een plaatje als C:/mijn documenten/linda/andre.jpg, waarbij linda natuurijk vervangen moet worden door de echte, niet veel voorkomende, voornaam) ben ik achter heel veel dingen gekomen zoals een anorexia verleden etc. Even fout plakken en je hele verleden ligt dus op straat….

  17. 37

    Information Security Begins with You!
    The success of America’s campaign agasint terrorism depends on you. Don’t help America’s enemies plan another attack. Use secure communications when discussion classified or sensitive information. Handle and discard memos, documents, correspondence and e-mails appopriately. Practice good computer security when accessing the Internet. Our enemies are unlike any we’ve encountered before. Don’t arm them with information that can harm us.

  18. 41

    Dag Steeph,

    Ik reageer even om te bevestigen dat ik deze bijdrage heb gelezen.

    Mag ik dan ook zoveel aandacht als die figuur die zo graag anoniem wil blijven? Alles over mij is terug te vinden op het web, zie onder andere de link naar mijn homepage.

    Vorige week vrijdag spraken we elkaar bij Binnenlandse Zaken, bij die bijeenkomst over eParticipatie waar we uitgenodigd waren om voor de beleidsambtenaren collectief te brainstormen.

    Ik zei na afloop nog tegen je: ‘hoi, ik ben je lezer’.

    Is er nu trouwens iemand die straffeloos mijn bankrekening 41.42.63.782 met deze gegevens zou kunnen plunderen? Het lukt mij zelf al niet eens terwijl ik het bijbehorende pinpasje heb, maar dat heeft vast met het lage saldo te maken…

    Groeten,

    ReindeR Rustema

  19. 42

    @ReindeR: Ah, onze lezer!
    Van de persoon ik kwestie uit stukje weet ik eerlijk gezegd niet of hij per sé anoniem wilde blijven. Dat is ook de essentie van mijn stukje niet.
    Zoals jij aangeeft, zijn er ook mensen die er geen moeite mee hebben dat hun gegevens beschikbaar zijn.
    Maar belangrijk daarbij is wel dat het een bewuste keuze is. Jij kan waarschijnlijk wel een goede inschatting maken van wat er met die gegevens kan gebeuren en welke risico’s je loopt. Die zet je af tegen de voordelen die je kan hebben van een open leven leiden.

    Er zijn echter veel mensen die niet zo bewust zijn van het feit dat ze die informatie zomaar op straat gooien.

    Ik propageer hier dan ook niet absolute bescherming van de privacy. Ik wil alleen bereiken dat men weet waar men voor kiest.
    (Als ik voor absolute privacy zou zijn, zou ik zelf ook niet moeten bloggen. Mijn identiteit en veel gegevens zijn zo langzamerhand ook publiek domein).

    Goed ook dat je even aangeeft dat ik geen energie in die specifieke bankrekening hoeft te stoppen. Het kost immers toch wel een paar uur werk voor het kapen van zo’n rekening. Alleen interessant als er meer dan 5000 euro uit te halen is.
    ;-)

    @Spuyt12: Omdat ik dan weer veel tijd kwijt ben in het zoveelste projectje :-P

  20. 43

    @ReindeR: Terloops (hoewel) geef je ook een ander element aan. Niet alle informatie over jezelf heb je ook zelf in de hand online. In een virtuele conversatie kunnen anderen ook informatie over je vrijgeven.

  21. 45

    @Steeph, en bedankt voor de link. Dat ik op dit moment reageer vanaf mijn werk op dit artikel zou je bijna waanzin kunnen noemen.
    *Sluit snel alle elektronische patiëntendossiers en zwaait vriendelijk naar de ICT-afdeling*

  22. 46

    LOL @#21 (S’ph). Tja, als je dit nu nog niet weet… In de jaren stillekes kon je je auto nog achteloos parkeren met de sleutel in het contact. Maar ondertussen niet meer, en dus logischerwijze ook digitaal. Ergo : heel veel schotjes houden, heel weinig sharen of uploaden, zoveel mogelijk op je C: houden of op externe dragers (ipv online), veel in de opties en instellingen kijken, enz. Ben dan ook zo geen fan van al die ‘social network’ sites, niet van MySpace, niet van Last FM, criticalmetrics.com, enz. enz. Content building is prachtig, te grabbel gooien dwaas, nil nove there.

  23. 47

    @Target: Ik zit net mijn patiëntendossier online te lezen, met dank aan mijn daaraan gekoppelde IP-nummer, dat jullie overigens een patiëntennummer noemen. Maar goed. Had je niet eerder kunnen zeggen dat ik volgende week gedwongen opgenomen wordt?

  24. 49

    Leuk stuk, maar ik moet zeggen wel een beetje overdreven. De indruk wordt (zoals wel vaker als het gaat om dit onderwerp) gewekt alsof alles wat je doet op straat ligt. Dat is natuurlijk niet zo.

    Wat wel zo is, is dat je moet opletten wat je waar doet, maar dat geldt net zo goed voor je ‘offline’ leven als voor je ‘online’ leven.

    Het is niet handig bepaalde gegevens online in google docs te plaatsen en deze niet af te sluiten. Dat is net zo onhandig als je auto open laten met daarin je laptop. Of je telefoon laten liggen als je naar de wc gaat…

    Beetje opletten wat je doet, dan valt het allemaal best mee.

  25. 50

    Heb sowieso het idee dat je gegevens veelal op straat liggen of in elk geval makkelijk te achterhalen, ook zonder dat diegene gebruik maakt van google. Wat nog makkelijker is, is gewoon de whois van een domein opvragen en je hebt naam, adres en telefoonnummer gratis en voor niks. Pas als je aantoonbaar gestalked of anderzins illegaal bent benadeeld, kan je die gegevens laten afschermen. Behoorlijk absurd.

    Begrijp eigenlijk niet waarom mensen zo massaal gebruik maken van faciliteiten op internet. Dit is een favorieten document maar menigeen houdt er ook zijn agenda bij bijvoorbeeld. En Google geeft in de kleine lettertjes al aan zelf gebruik te maken van die gegevens, dat anderen dat ook makkelijk kunnen ligt nogal voor de hand.

    Maar dat stuk op de Telegravin klonk wel logisch, aandacht voor privacy. Gooien de meesten niet zelf al hun hele leven op straat?

  26. 54

    @Steeph,

    Ik zit nog in de ontkenningsfase, maar ik moet toegeven dat ik na enkele maanden gmail een half jaar geleden, mijn account toch maar weer opgeheven heb (maar afwachten of google het ook werkelijk doet…).

  27. 56

    Rrrright…vandaar.

    Cambridge toch MP? Hoe gaat het eigenlijk met die eerste Nederlandse roeier die een paar jaar terug voor cambridge meedeed en de eerste die The Boat Race won.

  28. 58

    Ja en?
    En dan niets afweten van die prestigestrijd waar een Nederlander aan meedeed.

    I know nothing..I am from Barcelona?

    Rrright…

  29. 61

    @MP: Het is niet zozeer Google die een specifieke bedreiging is voor de privacy. Alhoewel ze natuurlijk wel een bijzondere rol spelen. Het google docs voorbeeld was precies dat, een voorbeeld.
    Andere wegen zijn ook mogelijk. Nergens veilig…..

  30. 64

    Je vergeet dat het plunderen van andermans rekening eerder te maken heeft met het gebrek aan beveliging in het aloude credit-card systeem, en dat kan ook heel eenvoudig gehackt worden zonder internet (social engineering). In Finland kan je aan de hand van een nummerplaat met 1 sms naam en adres van de eigenaar opvragen. Met nog 1 sms kun je vervolgens het onkomen van die persoon opvragen. De vraag die je zou moeten stellen stel je echter niet en dat is of google zich schuldig maakt aan het overtreden van wetten, en of jij dat doet als je logbestanden en online gegevens met elkaar koppelt. Het feit dat je dit kan doen, wil nog niet zeggen dat het mag. Bovendien kun je, uitzonderingen daargelaten, zelf ook ‘kinderlijk eenvoudig’ worden opgespoord. Goeie post overigens.

  31. 66

    Volgens mij kun je in Nederland tegen betaling van iets van 7 euro administratiekosten ook een ‘adres’ bij een ‘nummerplaat’ opvragen. Begin 2000 kostte dat nog iets van Hfl 5,25 overigens.

    Het stelen van een identiteit is in Europa overigens een stuk lastiger dan in de VS, waar het modewoord vandaan komt. Daar doen ze veel financiële transacties via de telefoon en daarvoor heb je slechts een nummer nodig dat redelijk makkelijk uit een brievenbus te halen is. Dan kennen ze daar nog een simpel ‘aantoonder-check’ systeem en natuurlijk de creditcard die op veel plekken nog via de ouderwetste doordruk-slip werkt en niet digitaal. Tot slot is daar nog een ‘simpel’ social security nummer waarmee je feitelijk kunt bewijzen ‘iemand’ te zijn, zonder dat je dat verder hoeft te bewijzen. In Nederland (en Europa) ligt het allemaal wel iets complexer.

    Neemt niet weg dat mensen inderdaad te makkelijk informatie verstrekken als iemand zegt te bellen namens ‘een bank’, ‘een verzekeringsmaatschappij’, of een quiz-met-u-heeft-veel-geld-gewonnen-nieuws.