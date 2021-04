Na lekken bij Facebook (gegevens van 530 miljoen gebruikers) en LinkedIn (500 miljoen gebruikers) in de afgelopen weken liggen nu ook de gegevens van 1,3 miljoen gebruikers van audio-app Clubhouse op straat.

De data van Clubhouse – onder andere namen, profielfoto’s, gelinkte Instagram- en Twitteraccounts – verschenen dit weekend op een online hackerforum, zo ontdekte techwebsite Cyber News. Een datawetenschapper die zich online ‘John Tukey’ noemde, scrapete de data en publiceerde die daarna.

‘John Tukey’ bleek ene Vahid Baghi te zijn, een Iraanse datawetenschapper, zo ontdekte voormalig Bellingcatonderzoeker Henk van Ess: „Baghi zei tegen mij dat hij gewoon gebruik had gemaakt van de mogelijkheden die Clubhouse biedt aan softwareontwikkelaars om hun eigen apps aan Clubhouse te linken. De data wilde hij gewoon met de wetenschappelijke gemeenschap delen. Puur nerdy, maar wel naïef.”

Daarom ontkende Clubhouse, net als Facebook en LinkedIn, dat er sprake is van een hack. „Dat is misleidend en onwaar”, tweette het bedrijf zondag, „Het gaat om publieke informatie waar iedereen toegang toe heeft.” Van Ess: „Dat is echt een heel irritante reactie, die mensen hebben geen flauw idee wat de consequenties van zo’n lek zijn.”

This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API. https://t.co/I1OfPyc0Bo — Clubhouse (@joinClubhouse) April 11, 2021

Namen van anonieme twitteraars

Van Ess heeft de database ook zelf gedownload om er in te grasduinen. Hij wist de echte namen van 1.500 Clubhousegebruikers te linken aan anonieme twitteraccounts. „Sommigen daarvan spraken zich uit over mensenrechten. Zo’n lek kan echt gevaarlijk zijn als je in een autoritair land woont.” Maar niet alleen mensenrechtenactivisten moeten uitkijken: „Ik kwam ook een bankier tegen die een anoniem Instagramaccount heeft waar hij seksueel expliciete plaatjes op plaatst, het is vast niet goed voor z’n reputatie als dat account aan zijn naam te koppelen is.”

Ook Jaap-Henk Hoepman, privacyonderzoeker bij de Radboud Universiteit en de Rijksuniversiteit Groningen, vindt het lek potentieel gevaarlijk: „Er zijn zoveel mensen van wie dit soort gegevens echt geheim moet blijven. Politieagenten, politici, maar ook voor mensen die gestalkt worden, is dit echt een probleem.”

Mensen zijn lekmoe. Om de haverklap is er weer een lek. Henk van Ess Data-onderzoeker

De houding ten opzichte van privacy bij Clubhouse is van een andere orde dan die van Facebook en LinkedIn, zegt Hoepman. „De mensen van het Cambridge Analytica-schandaal, moesten echt goed zoeken naar een manier om gegevens van Facebookgebruikers te bemachtigen. Facebook dacht met een hangslotje op de deur voldoende beveiliging te hebben”, vertelt hij, „maar de makers van Clubhouse hebben de voordeur van de snoepwinkel gewoon wagenwijd open laten staan, daar is echt geen enkele bescherming whatsoever.”

Bij andere sociale media als Facebook of Twitter kan je maar heel beperkt gegevens scrapen – de methode die in alledrie de lekken is gebruikt –, legt Van Ess uit. Soms maar een paar honderd keer per etmaal. „Bij Clubhouse is daar geen limiet op en kun je gegevens van anderhalf miljoen gebruikers zo downloaden, inclusief gevoelige informatie. Daarmee wijken ze echt af van de standaard. En het lek is nog niet dicht, ik heb de methode van Baghi deze dinsdag nog gewoon kunnen herhalen.”

Verdoofd voor lekken

Waarom krijgen de lekken bij Facebook, LinkedIn en nu Clubhouse niet meer aandacht, als de gevolgen zo groot zijn zijn? Privacy is iets abstracts, maar wat ook meespeelt is dat mensen „lekmoe” zijn, zo stelt Van Ess. „Om de haverklap is er weer een lek, maar mensen leggen de link niet tussen oplichters op WhatsApp en dit soort lekken bij Clubhouse. Terwijl: waar denk je dat die oplichters je mobiele telefoonnummer vandaan hebben?”

Hoepman vreest dat we langzaam verdoofd raken voor dit soort lekken. „Intussen weet iedereen wel dat Facebook slecht is, maar misschien zijn deze lekken aanleiding voor mensen om opnieuw na te denken over de apps die ze gebruiken. Dat zag je laatst ook toen mensen massaal WhatsApp verlieten, omdat Facebook zijn datadiensten aan elkaar aan het koppelen is.”

Daarom is het zaak dat privacy by design de standaard wordt, zeggen de experts. En niet een nagedachte, zoals bij Clubhouse dat in de beginfase vooral bezig leek met hoe het platform snel kon groeien. „Het zou niet moeten mogen dat diensten op deze manier ontwikkeld en in de markt gezet moeten worden”, zegt Hoepman. „Het is alsof je een auto op de markt brengt zonder spiegels, richtingaanwijzer en remsysteem.”

De verantwoordelijkheid moet vooral niet bij burgers worden gelegd met cursussen voor sociaal mediagebruik, voegt Van Ess toe: „Om bij die metafoor te blijven: mensen willen blijven autorijden en daarvoor gebruiken ze auto’s die fabrikanten aanbieden. Als ze niet weten dat een auto een spiegel of een rem moet hebben, kunnen ze moeilijk gaan klagen bij de fabrikant.”