Is het wel verstandig om in te loggen via Facebook?

Privacy Inloggen op een site of app via een Facebook-account is handig. Maar gebruikers geven de sites en apps zo toegang tot allerlei persoonlijke gegevens, zoals hun verjaardag, vriendenlijst en profiel.

Illustratie Tomas Schats

Log in met Google, Facebook of LinkedIn. Op duizenden sites wordt aangeboden om via een al bestaand account in te loggen. Is dat puur voor je gebruiksgemak? Of is er meer aan de hand?

Facebook meldde vorige week een onderzoek te starten naar apps die gebruikmaken van het platform. De mededeling kwam in het oog van de Cambridge Analytica-storm. Dit databedrijf, door een klokkenluider „propagandamachine” genoemd, kreeg toegang tot gegevens van tenminste vijftig miljoen Amerikanen en kon daarmee, naar eigen zeggen, op hun psyche inspelen tijdens de verkiezingsstrijd. Ten gunste van Donald Trump.

De data waren via een app verzameld onder het mom van wetenschappelijk onderzoek. De app had toegang tot de Facebookpagina van de gebruiker, maar ook de profielen van alle vrienden. Eerder was al bekend dat het bedrijf data verzamelde via gratis persoonlijkheidsquizzen op Facebook.

De affaire roept de vraag op hoe verstandig het is derde partijen toegang te geven tot Google of Facebook. Bijvoorbeeld via spelletjes op het platform of door er elders mee in te loggen. Dat laatste kan op talloze sites en apps, zoals Ticketswap, BlaBlaCar, Funda en Happn. Een petitie van Amnesty tegen mensenrechtenschending tekenen? Log even in via Facebook.

Gebruikers geven apps en sites zo toegang tot allerlei gegevens: hun e-mailadres, verjaardag, vriendenlijst en profiel. Apps kunnen ook toegang vragen tot meer, zoals foto’s die je hebt geliked en de locaties vanwaar je bent ingelogd. Vóór een technische wijziging in 2014 kregen dit soort derde partijen ook toegang tot je vrienden: hun likes, groepsdeelnames en persoonlijke informatie zoals relatievoorkeuren. Gegevens die eenmaal zijn geoogst, kan Facebook niet meer terugvorderen. Achteraf bleken sommige spelletjes en apps dan ook enkel op data van Facebookgebruikers uit. „Facebookdata staat overal ter wereld te koop”, zo verweerde campagnestrateeg Steve Bannon zich in de Cambridge Analytica-affaire.

Lees ook ons interview met klokkenluider Christopher Wylie: ‘Cambridge Analytica is modern kolonialisme’

Geen trek om een account aan te maken

Inloggen via een elders bestaand account heet Open Autorisation (OAuth). Hoe werkt het precies? „Een site stuurt je door naar Facebook”, zegt Erik van der Kouwe, docent computerbeveiliging aan de Universiteit Leiden. „Facebook stuurt een klein pakketje informatie terug: het bewijs dat iemand is ingelogd. Hij of zij krijgt toegang tot de site, maar de app of internetpagina krijgt ook toegang tot sommige gegevens van de gebruikers.” Dat kan nuttig zijn om Facebookvrienden te vinden die hetzelfde spel spelen. Of informatie op je account te delen, bijvoorbeeld over naar welke muziek wordt geluisterd op Spotify.

Voor sites is OAuth aanbieden aanlokkelijk: hun bezoekers hebben er vaak geen trek in om een nieuw account aan te maken. „Als gebruikers zich moeten registreren, vertrekt een significant deel”, zegt Stefan Mariske, onderzoeker bij Radically Open Security. „Mensen zijn bang voor spam, of hebben geen zin een wachtwoord te onthouden.”

Ondertussen raken gebruikers zo nóg verder verwikkeld in de ecosystemen van de techreuzen. „Facebook en Google willen op zoveel mogelijk plekken op internet, zoveel mogelijk over mensen te weten komen”, zegt Merel Koning, docent recht en technologie bij de Radboud Universiteit. „Dat helpt om zo fijnmazig mogelijke profielen van gebruikers op te stellen.” Het is voor techreuzen relevant, zegt Koning, om te weten waar gebruikers allemaal inloggen: een nieuwssite, muzieksite of discussieplatform. „Hoe meer van dit soort ‘datacollectiepunten’ ze over iemand hebben, hoe waardevoller de profielen die ze gebruiken voor marketing”, aldus Koning.

Vernuftige volgtrucs

Wie z’n Facebook wil verwijderen – vorige week een trend met de hashtag #deletefacebook – moet rekening houden met deze derde partijen. Op sommige sites is het mogelijk om de inlog via Facebook te verruilen voor een e-mailadres en wachtwoord. Maar vaak zullen gebruikers een heel nieuw account moeten maken.

Wat beveiligingsexperts betreft, zijn er grotere problemen dan OAuth. Facebook en Google hebben vernuftiger trucs om gebruikers buiten hun platform te volgen. „Waar je op andere sites knoppen van Facebook ziet staan – bijvoorbeeld om een artikel te delen – probeert Facebook je te volgen”, zegt Stefan Mariske. „Er wordt namelijk even contact gemaakt met Facebook om de knop naar de site te sturen.” Gebruikers hoeven daarvoor niet eens op de knop te drukken. Google kan er ook wat van. „ Denk er aan hoeveel data Google over je verzamelt als je een Android-telefoon hebt of de browser Chrome gebruikt. Sites laten ook maar al te graag bezoekersgedrag analyseren door het populaire Google Analytics. Op veel plekken op internet staat de deur voor techbedrijven wagenwijd open.”