SocialMediaDNA richt zich op kennisdeling rondom social media, politie en maatschappelijke veiligheid. Onderwerpen vari?ren van de online aspecten van openbare orde, opsporing, vervolging, rechtspraak tot crisisbeheersing en communicatie.
Krijg jij de laatste tijd ook steeds vaker vreemde vriendschapsverzoeken op Facebook van knappe vrijgezelle vrouwen of mannen, die jou graag willen leren kennen? Pas dan maar op, want het gaat hier om ‘spear phishing’.
De kans is vrij groot dat die onbekende dame of jongeman op Facebook eigenlijk een crimineel is, die op jouw geld uit is. Internetcriminelen zoeken steeds naar nieuwe manieren om geld te verdienen door ons op te lichten.
Gerichte acties
“De ouderwetse phishingmails en spam werken niet meer”, zegt Pim Takkenberg, cybersecurity-expert van TNO. Daar trappen we niet meer in. Daarom proberen de criminelen het nu met gerichte acties, ‘spear phishing’ genoemd. “Phishing is uit, spear phishing is in.”
“Criminelen sturen mensen nu heel specifiek een mail waarbij software wordt ge?nstalleerd. Die mail is vaak helemaal op jou toegespitst”, zegt Takkenberg. “En op Facebook proberen ze je vriend te worden, zodat ze toegang krijgen tot jouw vriendengroep, wat hen veel info oplevert. Maar ook zodat ze met je kunnen chatten en een link kunnen sturen, waarmee dan weer software wordt ge?nstalleerd.”
Tips
Hoe voorkom je dat de cybercriminelen jou te grazen nemen? “Allereerst door nooit zomaar een vreemd vriendschapsverzoek te accepteren”, zegt socialmedia-expert Jeroen Bertrams. “Ze misbruiken zo’n Facebook-vriendschap vaak voor datingfraude, om producten te verkopen of om een linkje naar je te sturen met schadelijk software.”
Zijn belangrijkste advies is dus: druk niet gelijk op ja als een knappe vrouw of man vrienden wil worden op Facebook. “Kijk eerst goed naar het profiel van zo iemand. Bestaat het profiel al lang? Wordt er Nederlands op zijn of haar profiel gesproken? En: heb je gemeenschappelijke vrienden of is het een totaal onbekende? Trap er niet in!”
Crystal werd vorig jaar in Amerika opgericht door Drew D’Agostino. Hij stelde zich als doel om communicatie via e-mail empathischer te maken. Je kunt inloggen via je LinkedIn-profiel, of je aanmelden op de website. Als je daarna een persoonlijkheidsprofiel opvraagt, krijg je te zien wat Crystal over diegene weet. Aan de hand van openbare informatie op internet stelt de app persoonlijkheidsprofielen van mensen op en geeft advies over hoe je die persoon het beste kunt benaderen. De app maakt hiervoor gebruik van open bronnen: van uitingen op sociale media tot blogs en recensies.
Aan de hand van die gegevens stopt Crystal je in ??n van zijn 64 communicatiehokjes. Die zijn overgenomen van erkende modellen voor persoonlijkheidsanalyse, bijvoorbeeld DISC, het model van Dr William Marston. Afhankelijk van de hoeveelheid informatie die deze persoon op internet heeft gezet, geeft de website een indicatie van de nauwkeurigheid van het profiel: van nul tot honderd procent. Het algoritme is zo ontwikkeld dat een lange tekst zwaarder weegt dan bijvoorbeeld een retweet. De persoonlijkheidsprofielen zijn gratis op te zoeken, voor extra functionaliteiten moet worden betaald.
De exponenti?le groei van het internet die exponenti?le groei van criminaliteit mogelijk maakt gaat in dit derde deel verder. Het probleem is volgens Marc Goodman niet dat technologie slecht is, maar dat zo weinig mensen er iets van weten. Als computer code onze planeet draaiende houdt (software rules the world) kan het ook misbruikt worden. Vooral vanwege de asymmetrische verhoudingen: een aanval is duizenden keren eenvoudiger dan een goede verdediging over alle linies van internetdingen. Perfecte beveiliging is een illusie en is ook niet nodig. Toch moet er wel wat wijzigen in de huidige manier van werken en doen.
De wereld is kapot
Facebook ontwikkelaars (en vele app ontwikkelaars ook) hebben lange tijd gewerkt volgens het mantra “move fast and break things“. De time to market was veel belangrijker dan de kwaliteit van de software, in een cultuur van b?ta producten die nooit af zijn. Zuckerberg stelde ook: “If you never break anything, you’re probably not moving fast enough“. Facebook noemde bijvoorbeeld de commotie rondom het tracken van niet-Facebookgebruikers een “bug”. Andere adagia bij Facebook zijn “Just ship it” en “Done is better than perfect“. Onderzoek onder app ontwikkelaars wijst uit dat de helft $0 dollar besteedt aan veiligheid. Deze duct?tape programmeerstijl zit dicht op het randje van een crash. Quinn Norton spreekt in “Everything is broken” zelfs over “Software is bullshit“. Het feit dat een Heartbleed?virus zo lang zijn werk kon?doen is een vorm van?bewijs. Klanten willen alles hebben en liefst snel. Mensen slapen niet voor niets op de stoep bij een Apple Store voor een nieuwe iPhone. Driekwart van alle systemen die we gebruiken kan in luttele minuten worden binnengedrongen. Een hacker heeft je wachtwoord in 90 seconden. Dat terwijl 97% van alle kraken voorkomen hadden kunnen worden met relatief eenvoudige maatregelen. Met het design is niets mis, maar waar is de Steve Jobs van security? Pas als veiligheid?echt een Unique Selling Point wordt en klanten dit hard gaan eisen, zal dit kunnen veranderen. Security onderzoeker?Dan Kaminsky: “We are truly living through Code in the Age of Cholera“. En het is logisch dat hackers die zwakheden vinden dit nu op de zwarte markt verkopen in plaats van het netjes te melden, omdat je bij legitieme meldingen (responsible disclosure) nog steeds risico’s loopt op strafmaatregelen. De bounty programs van bedrijven als Google en vele anderen zijn een goed begin, maar de prijzen op de zwarte markt zijn vele malen hoger. Voorlopig verandert er dus niet zomaar iets.
Data is?het nieuwe goud
De beruchte bankrover Willie Sutton,?die begin 19e eeuw zijn carri?re begon en dat decennia volhield en $2 miljoen dollar buit maakte, werd gevraagd: “Hey Willie, waarom roof jij eigenlijk banken?”. Zijn antwoord was simpel: “Omdat daar het geld zit”. ?Vandaag de dag is geld alleen vervangen door data, en om die reden?introduceert Marc?zijn eigen “Goodman-wet”: “The more data you produce and store, the more organized crime is happy to consume“.
Facebook geeft toe dat er?elke dag 600.000 keer?een account gehackt wordt. Elke dag! Dat is elke 140 milliseconde; knipperen met je ogen duurt al 2 keer zo lang. In het jaarrapport van Facebook stellen ze dat?11.2% accounts vals zijn, ofwel:?140 miljoen mensen die niet eens echt bestaan. Volgers of fans krijgen?is trouwens ook niet heel moeilijk, want op sites zoals SocialMediaCorp.org?zijn ze gewoon te koop: voor $5 dollar heb je 4.000 Twitter volgers en 100.000 fans op Facebook kosten iets meer: 1500 dollar. Tel daar clickfraude?of?complete?clickfarms bij op en je beseft: alle?social media partijen hebben?met heel veel?misbruik te maken. Van LinkedIn is ook bekend dat er 6.5 miljoen accounts gekraakt zijn, van Snapchat 4.6 miljoen (incl. telefoonnummers), maar ook Google en Twitter blijven niet gespaard en ondervinden dagelijks ellende. Georganiseerde misdaad is verantwoordelijk voor 85% van deze hacks. Dropbox maakte het in 2011 nog bonter en had per ongeluk de beveiliging even helemaal uitgezet voor al haar gebruikers. Een roofdier op de Serengeti loopt ook niet gewoon voorbij als er een dood dier ligt dat door kan gaan als gratis maaltje voor onderweg. In dit geval?werd dus heel wat Big data snel weggeloodst.
Social Media gebruikers zijn gewillige targets van allerlei?vervelende software. Koobface?is bijvoorbeeld bekende malware die zich specifiek richt op (de naam doet het al vermoeden) Facebookgebruikers. Deze software werd door?oplichters slim ingezet tijdens de vermiste MH370, waarbij ??n klik op “brekend nieuws van CNN”, met de eerste foto’s of filmpjes van het gevonden vliegtuig, genoeg was om een virus binnen te halen. Firesheep is een andere tool waarmee je aan zgn. ‘sidejacking‘ kun doen; je kunt hiermee via een open Wifi (bijvoorbeeld in een hotel, restaurant of de trein) eenvoudig iemands Facebook sessie en ook account overnemen.
Wie is er aansprakelijk?
Maar denk maar niet dat social media partijen ook opdraven voor de geleden schade. Identiteitsfraude alleen al kostte in de VS 21 miljard (2012), en elke 2 seconden is er weer een?Amerikaan aan de beurt. Kinderen zijn de snelst groeiende groep slachtoffers. Zij maken?51 keer meer kans op deze vorm van fraude dan volwassenen. Reden: hun identiteit heeft nog?een ‘clean-sheet‘ bij de meeste instanties en social media partijen krijgen steeds jongere kinderen onder hun leden (ook al is 13 officieel de minimum leeftijd).
Facebook maakt goed?duidelijk?dat zij niet aansprakelijk zijn voor welke schade dan ook:
“We try to keep Facebook up, bug-free, and safe, but you use it at your own risk. We are providing Facebook as is without any express or implied warranties… We do not guarantee that Facebook will always be safe, secure of error-free.. [Y]ou release us, our directors, officers, employers, and agents from any claims and damages, known and unknown, arising out of or in any way connected with any claim you have.”
Marc vraagt zich af: Als?er op het etiket staat “Wij garanderen niet dat het product altijd veilig zal zijn” zou je het dan?kopen? Hoe kan het zijn dat wij dit klakkeloos overal maar accepteren als het over technologie gaat? Waar is de verantwoordelijkheid van software makers? Security expert?Mikko Hypponen?zegt erover: “Nuclear scientists lost their innocence when we used the atom bomb for the very first time. So we could argue computer scientists lost their innocence in 2009 when we started using malware as an offensive weapon.” In de automobiel industrie is het gelukt om integrale veiligheid te organiseren (in de VS de National Traffic And Motor Vehicle Safety Act?uit 1966), dus waarom niet met onze smartphones en?andere kritische spullen? Voordat we allemaal weer 50 miljard nieuwe spullen toevoegen vraag je je af of we het nu eindelijk goed gaan regelen. Er is uitgerekend dat Facebook?$8 dollar per jaar aan elke gebruiker?verdient. Maar voor dat bedrag?versnijden ze je data in kleine stukjes en verkopen die door aan een schimmige wereld van data dealers met mogelijk grote persoonlijke consequenties. Er zijn inmiddels heel wat mensen die Facebook best $10 dollar?willen betalen?om dat men hun persoonsgegevens niet meer te doen.
Treiteren, trollen of?erger
Stalken of cyberpesten is een net zo populaire vorm van misbruik met behulp van deze identiteiten, omdat het zo makkelijk is: je kunt er altijd en overal bij. Facebook stalking is zelfs een alledaags begrip geworden. Onderzoek?toont aan?dat zelfs 20% van de middelbare scholieren door het cyberpesten “serieus nadenkt over een zelfmoordpoging”. Sexting, sextortion (wraakporno)?zijn allemaal groeiende problemen. 67% van de studenten geeft aan ermee te maken te hebben. De website van Hunter Moore maakt het wel heel bond: alle wraakporno plaatjes (meestal van exen) worden automatisch voorzien van de echte social media profielen van Facebook of Twitter. 74% van de ouders geven aan niet mee te kijken met hun kinderen. Reden: ze snappen het toch niet, hebben geen tijd, geen energie?of zien geen mogelijkheden.?In de huiselijke kring kan?social media andersom ook een?grote?negatieve impact op je?leven hebben: 45% van de slachtoffers van huiselijk geweld geeft aan dat de daders hen online volgt of ook digitaal aanvalt. Neem bijvoorbeeld Paul Bristol die het vliegtuig uit Trinidad pakte na een Facebook update van zijn ex en haar na het zien van een foto met haar nieuwe vriend doodstak. Hate crime (haat gericht op?huidskleur, geloof, geaardheid, sexe, uiterlijk of anderszins) en vele andere vormen van digitale pesterijen nemen toe.?Zo maakte Channel 4 een documentaire?over de heftige jacht op homo’s in Rusland met daarin een voorval?van?1500 jonge?mannen die op Instagram, YouTube en Twitter voor de hele wereld werden vernederd en?de autoriteiten slechts toekeken,?terwijl sommigen voor het leven verminkt waren of zelfs stierven. Nooit iemand voor veroordeeld.
Censuur en?propaganda
Websites die antisemitisch zijn en de holocaust ontkennen of nazisme aanhangen worden in landen als Frankrijk en Duitsland openlijk gecensureerd. In Syri? worden diensten als?YouTube en Facebook geblokkeerd. Saoedi Arabi? blokkeert zelfs 400.000 websites en de Verenigde Arabische Emiraten blokkeren alle sites eindigend op .il omdat ze de Joodse staat niet erkennen. Maar China spant natuurlijk de kroon op het gebied van internet censuur, met 2 miljoen moderators en propaganda werkers. Er zijn volgens Freedom House?wereldwijd maar liefst 4 miljard mensen die in een land wonen die aan enige vorm van internet filtering (censuur)?doen. De overheid (maar ook?Facebook of Google) bepaalt dus was je in je gefilterde bubbel ziet. Andersom?gebruikt de VS zelf ook de online propaganda machine in haar strijd met Al-Qaida, en Rusland vertelt met wat hulp van internettrollen?online graag hun verhaal over Oekra?ne of de MH17. Lees en bekijk bijvoorbeeld wat alleen al Bellingcat hierover tegenkomt:
Naar internet content kijken is volgens Marc net als een dating site: “What you see is not always what you get“. En toch vertrouwen we erop. Volgens Nielsen vertrouwt 70% van de mensen online reviews net zoveel als het advies van hun vrienden. Toch blijkt uit ander onderzoek?dat 25% van de reviews complete onzin zijn. Sterker nog, het is bekend dat diensten flink rommelen met deze informatie, een fenomeen dat bekend staat als?astroturfing.
Social Engineering
Als je niet op Facebook zit, doet iemand anders dat wel voor je. Daar kwam ook Ron Noble?in 2010 achter, toenmalig?secretaris generaal van Interpol, toen de penoze een Facebook account voor hem aanmaakte. Maar?wat kun je met zo’n vals account? Een voorbeeldje:
Robin Sage, een jonge aantrekkelijke 25 jarige vrouw, werkte als cybersecurity analist bij de Amerikaans marine. Bij MIT afgestudeerd en stage gelopen bij de NSA. Net als iedereen van haar leeftijd was ze flink actief op Facebook, LinkedIn en Twitter. Toen ze net haar baan bij de marine had, sloeg ze lekker aan het netwerken met andere cybernerds die bij de overheid werkten. Al snel had ze 300 connecties, waaronder militairen en mensen op diverse plekken bij de inlichtingendiensten. Een hele reeks hooggeplaatste mensen hoorden daar ook bij. Hoewel sommigen twijfelden over haar uitnodiging, verzekerde zij ze dat ze elkaar toch echt op de laatste Defcon hadden ontmoet. De twijfelaars keken nog even naar haar profiel, maar zagen ook andere bekenden al in haar netwerk, waaronder veel van haar collega’s bij de marine. Lockheed Martin en andere bedrijven raakten zelfs zo onder de indruk?dat ze haar?benaderde voor een baan. Er was alleen ??n detail: Robin Sage bestond helemaal niet. Het was een experiment van security adviseur Thomas Ryan.
Crime Inc.
Data broker Experian verkocht?in 2013 per ongeluk bijna twee derde van alle gegevens over Amerikanen aan een malafide club uit Vietnam. Van 200 miljoen Amerikanen waren de zgn. ‘fullz‘ (alle persoonsgegevens) in criminele handen, waarmee je eenvoudig?een lening kunt aangaan uit hun namen. Op allerlei sites zoals SuperSet.info of FindGet.me kon je ze voor gemiddeld 20 set per setje kopen. Schattingen zijn dat 20% van alle Europeanen en Amerikanen al een keer digitaal over de toonbank zijn geweest. Medische identiteitsfraude of belastingfraude met valse identiteiten kost de Amerikaanse maatschappij?jaarlijks respectievelijk 5.6 miljard en?4 miljard per jaar.
Inbrekers kunnen ook een slaatje slaan uit de gratis Facebookgegevens. Zo werd in 2010 bekend dat een criminele groep uit Nashua, New Hampshire, Facebook gebruikte om meer dan 50 inbraken te plegen waarin ze zo’n $200.000 buit maakten. Online marktplaatsen?zijn ook populaire manieren om mensen op te lichten, of om gewilde?spullen te vinden.
Of neem de terroristische?Lashkar-e-Taiba aanval?in Mumbai uit 2008 die als gijzelnemers in de ene hand een vuurwapen en een smartphone wapen in de ander hadden. Tien mannen kregen via hun eigen social media ops centrum voor die tijd geavanceerde real-time contra-intelligence via hun smartphone binnen en be?nvloedden met hun actie het leven van 12 miljoen inwoners in die stad terwijl het?live over de hele wereld werd uitgezonden. 164 mensen overleefden die aanslag niet en 9 van de 10 gijzelnemers kwamen om. De enige overlevende werd in 2012?in India ge?xecuteerd. Marc beschrijft hoe criminelen?over een aantal jaar “Siri & Clyde” worden (of Bonnie & Cortana) waarin ze?met hun?smartphone een IBM Watson (Don Watson noemt hij het) aan de lijn hebben als criminele infocel.
Marc Goodman gebruikte deze casus al?in 2012 in zijn TED talk:
Dit is deel 3 van een vierluik als boekbespreking van Future Crimes van Marc Goodman. In het volgende en laatste artikel gaan we in op het Dark Web, cloud crime, crime sourcing, internetdingen en wat we kunnen doen om deze ontwikkelingen veilig te houden. Heb je artikel 1 en 2 al gelezen, of heb je het boek zelf gelezen? Misschien wil je dan je idee?n erover?hieronder delen?
We zetten de lijn van exponenti?le groei uit het vorige blog door, maar nu zoomen we in?op?de social media ontwikkelingen die Marc Goodman beschrijft in zijn nieuwe boek Future Crimes.
In 10 jaar tijd groeide het gebruik van Facebook van nul tot 1.3 milard mensen. Er zijn inmiddels op de planeet meer mobiele telefoons dan mensen en daarmee worden elke dag 350 miljoen foto’s naar Facebook geupload. De ‘Like’-knop wordt zo’n zes miljard keer per dag ingedrukt.?Tijdens de Arabische lente maakte een Google medewerker, Wael Ghonim, een Facebookpagina aan om aandacht te vragen voor de aanslag op een Egyptische activist. Binnen twee minuten had hij?300 ‘likes’ en na korte?tijd steunden 250.000 zijn oproep. Het doen van telefoontjes op de mobiel is volgens Brits onderzoek in ons dagelijks gebruik al?op de vijfde plaats gekomen: surfen op het web, social media, gamen en muziek staan op de eerste vier plekken!
Social Media Terms of Service (ToS)?
De groei van klanten voor social media aanbieders is fenomenaal. Maar over hoe deze partijen met hun klanten omgaan stelt Marc Goodman stevige vraagtekens. Bijvoorbeeld Google of Facebook komen met veel vreemde praktijken weg zo lijkt het, en het contract dat je als gebruiker met ze aangaat is op zijn minst asymmetrisch. Het antwoord van Google in een rechtszaak onder de hamer van?rechter Lucy Koh was letterlijk: “a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties“. Met andere woorden: het versturen van een e-mail aan een Gmail gebruiker betekent dat Google mag doen met die data wat het wil. Neem ook Facebook die zich zou moeten houden aan de Children’s Online Privacy Protection Act,?een wet die bepaald dat er geen informatie van kinderen onder de dertien verzameld mag worden. Maar wie een beetje om zich heen kijkt op Facebook weet wel beter. Ook al zijn de regels dus beter, dan schiet de handhaving enorm tekort. Een treffende?quote uit het boek is dan ook: “Social media are the new public records“.
Marc wil zijn punt nog kracht bijzetten met wat cijfers.?De gemiddelde Amerikaan krijgt per jaar 1.462 gebruikersovereenkomsten?onder ogen, met gemiddeld 2.518 woorden per stuk. Als we die allemaal zouden moeten lezen, zou dat?76 volledige werkdagen?van ons leven kosten. Geen wonder dat de meeste mensen de Terms of Service (ToS) niet lezen.
Als voorbeeld schotelt Marc Goodman ons de user agreement?van LinkedIn even voor:
“You grant LinkedIn a nonexclusive, irrevocable, worldwide, perpetual, unlimited, assignable, sublicensable, fully paid up and royalty-free right to us to copy, prepare derivative works of, improve, distribute, publish, remove, retain, add, process, analyse, use and commercialize, in any way now known or in the future discovered, any information you provide, directly or indirectly to LinkedIn, including, but not limited to, any user generated content, ideas, concepts, techniques and/or data to the services, you submit to LinkedIn, without any further consent, notice and/or compensation to you or to any third parties. Any information you submit to us is at your own risk of loss.”
Daar kunt u het mee doen. Je kunt je data als eindgebruiker (of product) dus nooit meer terughalen, nooit een fout herstellen. Social Media partijen?kunnen je data in de meeste gevallen tot in lengte der dagen blijven gebruiken voor allerlei doeleinden. LinkedIn heeft zijn user agreement inmiddels iets aangepast, en maakte er na veel vragen zelfs onderstaand?filmpje over. Het filmpje doet overkomen alsof je zelf eigenaar bent (ben je in wettelijke zin ook), toch blijf?je onbeperkte toestemming (licenties) aan LinkedIn en derden geven over je persoonlijke gegevens?en zie die maar eens echt terug te halen. Dat is nu totaal nog?geen transparant proces, vandaar ook nieuwe Europese wetgeving?tav?het recht om vergeten te worden, maar ook de?interessante zaak die Max Schrems (na zijn eerdere ervaringen) nu samen met duizenden gebruikers?tegen?Facebook voert:
Om aan te tonen hoe belachelijk dit soort gebruikers overeenkomsten zijn, deed GameStation een experiment met een nog belachelijker statement:
“By placing an order via this GameStation Website on the first day of the fourth month of the year 2010 Anno Domini, you agree to grant us a non transferable option to claim, for now and for ever more, your immortal soul. Should we wish to exercise this option, you agree to surrender your immortal soul, and any claim you may have on it, within 5 (five) working days of receiving written notification from gamestation.co.uk or one of its duly authorisied minions.”?
7500 GameStation gebruikers verkochten op de dag van dit experiment hun ziel aan GameStation, terwijl ze er een product kochten. Terms of Service zijn echter geen geintje. Menige rechtszaak is door arme klanten verloren doordat de kleine lettertjes de social media partij -?of derden?- vrijwaarden van elke blaam. De privacy overeenkomst van Facebook verandert toch al elk half jaar en is inmiddels gegroeid van 1004 woorden (in 2005) tot 9300 woorden in 2014 (exclusief de links naar pagina’s met subvoorwaarden en overige condities). Facebook’s privacy overeenkomst is daarmee langer geworden dan de Amerikaanse grondwet! Toch spant Paypal de kroon met een gebruikersovereenkomst van 36.275 woorden… (langer dan Shakespeare’s Hamlet). Marc Goodman vergelijkt het wijzigen van deze voorwaarden met het (eenzijdig) wijzigen van de wetten, omdat deze datawetten bepalen wat ze met jouw data mogen doen en welke schamele rechten er dan voor jou overblijven.
En als je die gebruikersovereenkomst eenmaal gelezen hebt, ben je nog niet klaar. Op Facebook zijn maar liefst 170 privacy opties die je kunt instellen en tweaken, hoewel?de meeste mensen niet eens weten wat alles betekent. En al zou je uren besteden aan die instellingen, dan nog kan?een Facebook update van de Terms Of Service veel instellingen weer terugzetten op de?standaard instellingen; namelijk maximale openheid. Zo bepaalt je data dealer wat ze met jou kan doen. Jij bent immers allang verslaaft en zit vast?in hun web.
Ook Google heeft een vergaande terms of service overeenkomst. Als je bijvoorbeeld Google Docs of Google Drive gebruikt staat er?dat Google automatisch ook eigenaar wordt van die documenten. Lees maar:
“When you upload or otherwise submit content to our services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, and create derivative works, such as those resulting from translations, adaptations or other changes and license to communicate, publish, publicly reform, publicly display and distribute such content.”
Het is maar goed?dat J.K. Rowling haar Harry Potter serie niet in Google Docs heeft geschreven! Anders waren haar wereldwijde rechten van het boek ook in handen van Google.
Jij bent het product
Gratis lijkt dus mooi, maar je betaald met je persoonsgegevens of je eigen content. Een treffende quote uit het boek is: “The most expensive things in life are free“. Dat is precies?waarom een gratis spelletje als Angry Birds?binnen korte tijd 9 miljard aan beurswaarde kan genereren. Apps zijn hele effectieve distributiesystemen voor persoonlijke gegevens aan adverteerders. Alleen al het downloaden van de Facebook app op een Android toestel (nog voor dat je je hebt aangemeld of de ToS hebt ondertekend) zorgt ervoor dat je mobiele telefoonnummer met Facebook is gedeeld. En de ‘Like’-knop (6 miljard clicks per dag)?werkt?net als internet cookies als een tracker die je gedrag ook op andere sites dan Facebook volgt. McAfee toonde aan dat 82% van de Android apps je internetverkeer volgen en maar liefst 80% je locatiegegevens doorgeven. Marc Goodman geeft voorbeeld na voorbeeld en verbaast zich over het feit dat deze markt zo ongereguleerd is. Hij vergelijkt het met de regulatie van nicotine (onze persoonsgegevens zijn de verslaving van big data brokers en adverteerders), en de grote waarschuwingen op sigarettenpakjes voor consumenten.
De 7 gouden W’s voor adverteerders
Hij haalt de 7 gouden W’s erbij (op een andere manier: ditmaal voor adverteerders) en stelt dat Google de strijd om de “Wat” vraag heeft gewonnen: zij weten “wat” mensen zoeken (Google Search die je zoekvraag zelfs aanvult omdat ze jou en anderen inmiddels al redelijk goed kennen). ?Facebook heeft nu de strijd gewonnen rondom de “Wie” vraag: het kent jou en je persoonlijke netwerk als geen ander. ?De “Waar” vraag is nu waar de strijd al een tijdje in is losgebarsten. Location based diensten (LBS) en bronnen via apps (oa ook Netflix), de smartphone en internetdingen maar ook infrastructuur (de Wifi bij de McDonald’s) zorgen voor veel nieuwe startups die hun drilboor al in de digitale goudmijn hebben gezet.
Voorbeelden van dergelijke nieuwe diensten zijn bijvoorbeeld dating apps als Tinder en Grindr, die miljoenen klanten op miljoenen locaties aan elkaar hebben verbonden. In 2012 lanceerde een Russische startup de app Girls Around Me?die gebruik maakte van Facebook en Foursquare check-ins. Als een digitale?radar kon je alle meisjes?in de buurt vinden en hun Facebook profielen checken. Met een druk op de knop kon je zien waar ze op school zaten, welke vakantie ze net hadden gehad en hun?voorkeuren (‘likes’) inzien. Met deze informatie zou je dus als wildvreemde op zo’n meisje af kunnen stappen en precies de juiste dingen kunnen zeggen. Handig, ook voor?mannen met minder fijne bedoelingen.
Een andere?datingapp?gaat nog verder. OkCupid?vraagt aanvullende gevoelige informatie, zoals hoeveel seksuele relaties je in het verleden hebt gehad, of je voor of juist tegen abortus bent, of je een vuurwapen hebt, of en hoe vaak je?alcohol of drugs gebruikt (legaal en ook illegaal). Allemaal om een zo goed mogelijke match voor je te vinden…
Social Media monitoring
Dat social media ook door andere partijen steeds beter in de gaten gehouden wordt, ontdekte Leigh Van Bryan toen hij vlak voor zijn reis vanuit Engeland naar de Verenigde Staten Twitterde:
Het woordje ‘destroy’?betekent onder zijn Britse vrienden iets anders dan wat DHS (Department of Homeland Security) ervan maakte. Toen hij op het vliegveld in Los Angeles aankwam werden hij en zijn 24 jarige reisgenote Emily Bunting door de bewapende douane in de boeien geslagen. Ze moesten 12 uur in een cel zitten met vermeende Mexicaanse drugsdealers. Hoewel ze hun Engelse slang nog probeerden uit?te leggen, mocht het niet baten en werd er door hun spullen gezocht, onder andere naar een schep. Een schep? Die schep zou te maken hebben met hun andere tweet die hun vakantieplannen weergaf en over ‘diggin’ Marylin Monroe up‘ ging (een verwijzing uit de serie Family Guy):
Na een nachtje in de cel werden ze op het vliegtuig per kerende?post naar Engeland teruggestuurd. Dag visas, dag vakantie…
Social media monitoring is allang niet?meer beperkt tot de DHS. In Amerika?zijn naast de inlichtingen ook de IRS (belastingdienst) en de immigratiedienst al in 2009 begonnen met social media monitoring programma’s. Onder andere om te zien wie er wel vaart bij uitkeringen en vermoedelijke fraudezaken. In dat jaar had telecomoperator Sprint een handig online politie portaal (website) gemaakt om de vele dataverzoeken?eenvoudiger af te handelen. Daarmee kon de politie zonder schriftelijk bevel alle telefoons van Sprint localiseren (‘pingen’). In dat jaar werd er 8 miljoen keer gebruik van gemaakt.?Ook scholen en overheden doen steeds vaker mee in het monitoren van social media data. UDiligencevolgt social media accounts van studenten om ervoor te zorgen dat “de lokale atletiekclub niet door het gedrag van atleten in een slecht daglicht komt te staan”. Sommige scholen stellen het zelfs verplicht om de Facebook accounts met wachtwoord en al in te leveren. Ouders kunnen dan rustiger slapen.
Social data dealers
Marc Goodman constateert dat er maar weinig industrie?n zijn die hun klanten gebruikers noemen. Eigenlijk kent hij er maar twee: drugsdealers en de ICT industrie. Marc ziet veel overeenkomsten.
Want hoewel men schokkend reageerde op wat de NSA aan data verzamelde wil Marc ons ook wijzen op de echte datadealers. En dan bedoelt hij geen?hackers, maar gewoon de legale handel in persoonsgegevens. Neem bijvoorbeeld?Acxiom , die van meer dan 700 miljoen klanten gegevens verzamelde (van 96% van de Amerikaanse inwoners?hebben ze gegevens) en hiermee 50 triljoen data transacties per jaar verwerkt. Elk gebruikersprofiel bevat 1500 eigenschappen, zoals je ras, geslacht, telefoonnummer, type auto, opleidingsniveau, aantal kinderen, formaat huis, recente aankopen, leeftijd, gewicht, lengte, huwelijke status, politieke voorkeur, gezondheidstoestand, beroep, en of je links-of rechtshandig bent tot aan je?huisdieren. ‘Behavioural analysis’,?‘predictive targeting‘ en ‘premium proprietary behavioural?insights’ zijn de zaken?waar dit soort bedrijven dagelijks in handelen. Oftewel: ze proberen je door gedragsanalyse echt te begrijpen?en die kennis aan de hoogste bieder te verkopen. Want luiers?aanbieden aan een student heeft niet zoveel zin, maar brengt?veel geld in het laatje als je dat aan een zwangere huisvrouw aanbiedt.?Acxiom geeft je een unieke 13-cijferige code en stopt je in een van hun 70 clusters op basis van je gedrag en je sociodemografische eigenschappen. Sommige?data brokers houden ook gegevens bij over je medische toestand (bijv. AIDS of dementie) en?MEDbase200verhandelde zelfs gegevens over slachtoffers van huiselijk geweld of verkrachtingen. OfficeMax stuurde een brief?naar een klant waarop?stond” Mike Seavy, dochter omgekomen in een auto-ongeluk”. Toen deze man (nog in rouw, want het feit klopte) het bedrijf om uitleg vroeg moest het bedrijf onder druk van NBC bekennen dat het het een foutje was. Die gegevens waren alleen?bedoeld voor derde partijen, niet voor klanten. Welke partij die gegevens kreeg wilde OfficeMax niet zeggen (bekijk het nieuwsitem).
Je?begint je misschien?af te vragen wat deze data brokers allemaal van je weten. Je komt het echter nooit te weten, daar heb je immers voor getekend in de gebruikersovereenkomst.?Er is nauwelijks?regulering van de markt van deze data dealers. Marc Goodman noemt het Kafkaiaans,?omdat het doet denken aan het?boek van Franz Kafka “Het proces” waarin een man veroordeeld wordt maar niet krijgt te horen wat er in het geheime dossier staat.?Deze?dataveillance maatschappij noemde voormalig vice-president Al Gore ook wel de “stalker economy” met verwijzingen naar diensten als SnapChat, die jongeren juist weer gebruiken om onder het toeziend oog van hun ouders weg te komen.
Van Big data wetenschap naar big data praktijk
Engelse onderzoekers bekeken de locaties van mobiele telefoongebruikers en kwamen erachter dat ze nauwkeurige voorspellingen konden doen: met twintig meter variatie voorspelden ze waar je de volgende dag (over 24 uur) zou zijn.
Het Gaydar onderzoek op Facebook gaf vervolgens goed weer dat je seksuele voorkeuren goed kunt voorspellen (78% betrouwbaar) op basis van je sociale netwerk. Bedenk daarbij wat dit betekent voor de 76 landen waar homoseksualiteit nog steeds onwettig is: Sudan. Iran, Yemen, Nigeria of Saudi Arabi? waar er zelfs de doodstraf op staat. Of denk aan Rusland die ook bekend staat om zijn homohaat, dat zichtbaar?via de?Russische Facebook variant?Vkontakte?gebeurt.
En een andere Facebook studie van 58.000 profielen?toonde aan dat je iemands IQ kan voorspellen, maar ook of ze emotioneel stabiel en misschien uit een gebroken gezin afkomstig waren. Predictive policing software maakt hier nu nog geen gebruik van, maar data brokers met?commerci?le doeleinden waarschijnlijk?al wel.
Zo zijn er al een aantal start-ups (zoals Lenddo) die je sociale netwerk informatie gebruiken om te bepalen of je kredietwaardig bent. Als je bevriend?bent met mensen die schulden hebben en je hebt er vaak contact mee verlies je punten. Want, zo zal men denken, als je vrienden op social media allemaal platzak zijn, zul jij niet veel beter zijn…
Big data bazen
Eric Schmidt (CEO van Google) heeft?zelf een van de beruchtste uitspraken gedaan: “If you have something that you don’t want anybody to know, maybe you shouldn’t be doing it in the first place” en kreeg bijval van Mark Zuckerberg die zei “privacy is no longer the social norm” .
Zelfs Wolfgang Schmidt, destijds?hoofd van de Oost-Duitse inlichtingendienst?Stasi, reageerde op de onthullingen van Edward Snowden: “Dit zou onze droom geweest zijn”, en deed uit de doeken?dat?de Stasi destijds 40 telefoonlijnen tegelijk kon tappen en was verbaasd te horen dat de technologie het blijkbaar nu mogelijk maakt om alle telefoonlijnen en internet data tegelijkertijd en continu af te tappen.
Marc Goodman somt de problemen van de data brokers op en legt uit hoe gemakkelijk criminelen, maar ook bonafide partijen erbij kunnen, en stelt: “Als je niet de controle hebt over je eigen data, heb je niet de controle over je eigen levenslot.” In het volgende blog wordt nog duidelijker hoe social media informatie tot allerlei onveilige situaties leiden, en ronden we af met wat je er volgens Marc Goodman tegen kunt doen.
Laten we dit blogje eindigen met een onthullende parodie die goed weergeeft in wat voor gekke wereld we nu leven “CIA owns Facebook”:
Deze blogpost gaat over de kansen die de inzet van Linkedin biedt voor de politie. In de eerste plaats wordt uitgelegd wat Linkedin precies is. Vervolgens wordt aan de hand van enkele praktijkvoorbeelden de kansen geschetst. Tenslottte zijn een aantal achtergronddocumenten toegevoegd.
Er zitten nu al miljoenen Nederlanders op het zakelijke online netwerk LinkedIn. LinkedIn is het domein van de werkende, vaak hoogopgeleide mensen.?LinkedIn is handig om informatie over bekenden van bekenden te vinden. In LinkedIngroepen wisselen leden kennis en ervaringen uit over hun vak of interesses. Voor wie goed zoekt, kunnen ze een waardevolle bron van informatie zijn. Er zijn ontelbare groepen. Ook de politie zit er, waaronder het eigen ICT-bedrijf.? Iedereen kan een groep beginnen op LinkedIn. Bijvoorbeeld over overvallen, zedenmisdrijven, enz. Het voordeel: je moet eerst lid worden van de groep voor je mag meepraten. Maar de informatie ligt ook op straat. Als een crimineel in het organogram van je organisatie kan zien wie hij moet be?nvloeden om jou onder druk te zetten, dan heb je al snel een probleem.
Linkedin uitgelegd door Commoncraft:
LinkedIn-oprichter Reid Hoffman omschreef ooit het verschil tussen zijn site en sociale netwerksites als volgt: ‘LinkedIn is het kantoor, Facebook de barbecue in de achtertuin en MySpace is de kroeg’. Het is een plaats waar zaken worden gedaan, je kunt er idee?n opdoen, informatie uitwisselen met anderen en je profileren als je op zoek bent naar een nieuwe baan. LinkedIn is een unieke databank, gebruikers plaatsen immers in hun ‘profiel’ vooral werkgerelateerde informatie. Naast werkervaring en opleidingen ook ‘recommendations’ (referenties) of, in een ‘summary’ (resum?), hun kwaliteiten. Net zoals iedereen elkaar tegenwoordig ‘even googelt’ wordt er ook druk naar elkaar gezocht op LinkedIn. Wie een sollicitatiegesprek of een eerste ontmoeting met een klant heeft, kan vooraf uit het profiel van zijn gesprekspartner veel opmaken.
En een mooi artikel uit de Elsevier over Linkedin:
Binnen de Nederlandse Politie zijn verschillende Linkedingroepen actief zoals die van de politie Haaglanden en de (voormalige) VtsPN. Een interessante groep is die van Bezield Blauw. Dit is een netwerk van politiemensen die de essentie van politiewerk willen delen. Dit netwerk wordt gevormd door politiemensen die trots zijn op hun vak, dicht bij mensen willen staan, burgers zien als bondgenoot en de samenleving willen dienen vanuit de wetenschap dat zij zelf het verschil kunnen maken. Doel van deze group is om collega?s de mogelijkheid te bieden om thema?s te delen, te bespreken om het politievak beter te maken.
Naast de bestaande Linkedin groepen is het interessant om een groep te starten rondom een bepaald criminaliteitsprobleem zoals bijvoorbeeld overvallen. Iedere aanwezige professional die op Linkedin zit kan binnen de groep afgeschermd discussi?ren over dit thema.
Linkedin en relatiebeding
In Elsevier een interessant artikel over LinkedIn en een relatiebeding. Want wie een relatiebeding heeft, moet oppassen met het leggen van contacten via sites als LinkedIn. Het via LinkedIn contact leggen (‘linken’) met een klant van zijn voormalige werkgever is een softwareverkoper uit het Gelderse Winssen duur komen te staan. De rechtbank in Arnhem veroordeelde hem onlangs tot 10.000 euro boete wegens schending van het relatiebeding. Veel arbeidscontracten bevatten een concurrentie- of relatiebeding. Binnen, meestal, een jaar na be?indiging van de arbeidsovereenkomst mag een werknemer dan niet bij de concurrent gaan werken. Bij een relatiebeding mag hij geen klanten van zijn vorige baas benaderen. De softwareverkoper mocht volgens zijn beding geen contact hebben met vijf relaties van zijn ex-werkgever, op straffe van een boete van 10.000 euro per overtreding. Op LinkedIn, de zakelijke netwerksite, voegde hij zo’n verboden relatie echter toe aan zijn netwerk. Zijn oude baas zag op de LinkedIn-pagina van de man dat de twee waren gelinkt, maakte er een print van en stapte, met succes, naar de rechter.
Bij het vrij strenge oordeel speelt waarschijnlijk mee dat de man het relatiebeding al eerder had overtreden, zegt Oscar Siemelink, arbeidsrechtadvocaat bij Van Hall en Siemelink Advocaten. ‘Deze meneer blijkt hardleers. Dan heb je weinig sympathie van de rechter.’
Maar dan nog: werknemers met een beding moeten er volgens Siemelink goed over nadenken met wie ze online contacten onderhouden. ‘Het verwijderen van LinkedIn-relaties hoeft niet, en je mag best in je profiel zetten dat je een nieuwe baan hebt, maar actief benaderen mag niet.’ Dus geen e-mails naar verboden relaties. Of de softwareverkoper de relatie had benaderd, of andersom maakte volgens de rechter niet uit. Logisch, vindt Siemelink. ‘Je weet dat je met bepaalde personen geen contact mag hebben, dus als die het initiatief nemen, is het beter de uitnodiging om te linken af te slaan.’
Bron: Elsevier (30 april 2011)
Internationaal:?Oplichter die zich op LinkedIn voordeed als ‘Hedge Fund Manager’?
De 24-jarige Mark Traisman, deed zich voor als een ‘hedge fund manager’ van het zogenaamde RPR International LLC, welke op zijn LinkedIn een malafide bedrijf lijkt, maar in werkelijkheid niet bestaat. Hoewel zijn LinkedIn pagina niet meer bestaat, vond Business Insider hem op Facebook. Volgens de politie wordt hij ook verdacht van diefstal van dure zonnebrillen van bejaarden, is hij eerder veroordeeld voor drusgbezit en staat er nog een flinke schuld open bij zijn eigen moeder.
Robin Sage
Binnen de Nederlandse Politie zijn verschillende Linkedingroepen actief zoals die van de politie Haaglanden en de (voormalige) VtsPN. Een interessante groep is die van Bezield Blauw. Dit is een netwerk van politiemensen die de essentie van politiewerk willen delen. Dit netwerk wordt gevormd door politiemensen die trots zijn op hun vak, dicht bij mensen willen staan, burgers zien als bondgenoot en de samenleving willen dienen vanuit de wetenschap dat zij zelf het verschil kunnen maken. Doel van deze group is om collega?s de mogelijkheid te bieden om thema?s te delen, te bespreken om het politievak beter te maken.