Link

Deze week begon de Nederlandse overheid met Alert online, een nieuwe campagne met een oude boodschap: kijk goed uit voor hackers en cybercriminelen. Nederland moet smart worden, vindt minister Opstelten van Veiligheid en Justitie. Weet hoe onveilig je telefoon, tablet of laptop kan zijn en bedenk betere wachtwoorden dan password123456 of welkom01.

De overheidscampagne leert ons alert te zijn voor cybercriminelen. Maar er is meer alertheid nodig voor de partijen die we wél vertrouwen. Onze bondgenoten, zou Angela Merkel zeggen.

Je weet namelijk niet zeker aan welke kant van het wachtwoord de kwaadwillenden zitten. De Snowden-documenten leren dat webdiensten en telecomproviders niet op hun blauwe ogen te vertrouwen zijn als ze zeggen dat ze niet massaal gegevens aan (Amerikaanse) veiligheidsdiensten doorspelen. Zulke staatsgeheimen horen niet thuis in de trust-overeenkomsten die bedrijven als Google, Microsoft en Amazon aan hun Europese klanten voorleggen.

Gezien de consternatie over de NSA-praktijken is het onbegrijpelijk hoe makkelijk we kostbare contactgegevens, actuele locatie, smoezelige zoekopdrachten en gigabytes aan beroepsgeheimen vrijwillig in handen geven van ongrijpbare gratis webdiensten. Hun inkomstenbron – advertenties op maat – dwingt zulke webbedrijven om consumenten tegelijkertijd te behagen en te gebruiken. Meer users, meer data, meer verbindingen, meer advertenties; daarop draait de motor van Silicon Valley.

Dat gaat goed totdat de afspraken eenzijdig veranderd worden. Bijvoorbeeld als Google je foto wil gebruiken voor advertenties of Facebook je profiel en berichten ongevraagd doorzoekbaar maakt voor iedereen.

Nieuwe functies leveren nieuwe risico’s op. Sociaal netwerk LinkedIn merkte dat vorige week met de presentatie van de dienst ‘Intro’. Gebruikers van een iPhone – en straks meer mobiele apparaten – kunnen LinkedIn-profielen rechtstreeks in hun mail tonen. Aardig, om in één oogopslag te zien wie het leuke gezicht is achter die vervelende mail.

Maar wie Intro (vrijwillig) installeert, stuurt in feite al zijn berichten via de servers van LinkedIn. De kritiek van veiligheidsspecialisten is niet mals: Intro zou levensgevaarlijk zijn, zeker voor zakelijke gebruikers. Wat LinkedIn gedacht had als verrijking voor je mailbox, werd afgedaan als een man-in-the-middle-aanval. Zo’n eentje waar cybercriminelen en de NSA zich graag van bedienen.

LinkedIn reageerde meteen met een blogbericht met ‘de feiten’ over Intro, waarin het sociaal netwerk de beschuldigingen en ‘verkeerde interpretaties’ weerlegt. Ook verwijst het bedrijf naar een heuse Gelofte van Privacy. De strekking: onze gebruikers zijn heilig en onze servers zijn veilig .

Eén feitje laat LinkedIn echter onvermeld. Anderhalf jaar geleden raakte het sociale netwerk 6,5 miljoen wachtwoorden kwijt. Aan hackers.

Marc Hijink is redacteur technologie.

    • Marc Hijink