No Google Gmail for mail

06 April 2019

#google #gmail #hack #breach #hotmail

Een Gmail account heb ik vanaf begin 2005. Voor die tijd, d.w.z. na 1996, gebruikte zo’n beetje iedereen 'Hotmail' of 'Yahoo'. Hotmail werd eind 1997 verkocht aan Microsoft. Het systeem werd belaagd door hackers en was eveneens berucht om de enorme hoeveelheden spam. Yahoo's mail was op dat vlak al niet veel beter. Yahoo was, net als de Hotmail bedenkers, een van de pioniers van het vroege internet in de '90-er jaren.

Het door Google ontwikkelde Gmail was werkelijk een verademing. Een werkend spam- en malwarefilter!

Het scannen van emails werd en wordt echter eveneens gebruikt voor het serveren van 'context gevoelige reklame'. In de loop der decennia ontwikkelde Google voor velen een nare bijsmaak. Inmiddels gebruik ik mijn gmail niet meer. Geen hotmail. Geen Yahoo. Geen Google. Want ja.

gmail hacks
Figure 1. Analyse breaches gmail account met Maltego

Email niet alleen voor 'email'

Een email account gebruik je niet alleen voor directe communicatie. Je email adres gebruik je eveneens als je je aanmeldt bij fora, social media, winkels, games, utility’s, software etc etc. Bij zo’n registratie worden doorgaans meer gegevens gevraagd dan alleen je mail-adres. Die services worden -op enig moment- gehacked. En zo liggen je personalia op de digitale straat als je niet uitkijkt. Voor altijd. Oe echt? Ja.

account breaches
Figure 2. Some more breaches

Wie heeft er niet geleerd van de LinkedIn Breach uit 2012. Die pas bekend werd in 2016. 167 miljoen records. Die van mij was er ook bij. Sindsdien wordt het platform minder bejubeld en geplugd.

Bijvoorbeeld door hollandse overheids-instanties die het nog net niet wettelijk verplicht stelden om een profiel aan te maken als je in de WW kwam. Stuurden wel drommen mensen naar 'cursussen linkedin' op straffe van kortingen. De 'social media coachjes' lachten zich een kriek. Gelukkig was deze gesubsidieerde onzin van korte duur.

  • Ik heb een LinkedIn account vanaf 2006. Nauwkeurig gekuist op persoonlijke data voor een minimale 'footprint'. Actief gebruik ik het niet meer.

  • Mijn accounts voor Disqus, MyHeritage, Marketmesuite, Dropbox, etc heb ik gedelete. Zo ook vele -in vergetelheid geraakte- andere.

Mijn gmail is op een paar grijze haren na 15 jaar oud. Het is dan ook geen verrassing dat die gevonden wordt in 6 'hacks'. De analyse (fig. 1) is gemaakt met Maltego. Maltego is een data mining ic. online onderzoekstool die grafieken genereert voor analyse van relaties tussen verschillende bronnen.

Het plaatje maakt pijnlijk duidelijk dat in de loop der jaren digitale relaties zijn gelegd tussen mijn gmail account, IP adres, gebruikersnamen, social media, locatie, werkgevers en wachtwoorden. Hoe precies de 'sales engagement startup "Apollo"' dat allemaal bij elkaar heeft gefantaseerd, is een raadsel. Of toch niet..

Het is zeer aannemelijk dat jouw meta-data door bijvoorbeeld Google, Facebook, Twitter, Microsoft, Apple, LinkedIn, etc. is verkocht aan adverteerders. [1] [2] [3]

Je kunt je email adres(sen) makkelijk zelf testen bij ';--have i been pwned?.

Of klik hier als je een melding wilt voor de toekomst. Krijg je een melding van ';--have i been pwned?, dan snel je inloggegevens wijzigen. Van al je sites en services waar je het betreffende mail adres hebt gebruikt.

Meer dan één mailadres

Het gmail account gebruikte ik 'vroeger' voor praktisch alles: mailen, op fora, bij games etc. Dat doe ik al jaren niet meer. Gebruikersnamen als reflectie van mijn voor en achternaam. Niet meer. Adres, telefonnummer, woonplaats etc. Ook zeker niet. Bij online shoppen aan de lastige kant. Dus ja. Er zijn enkele uitzonderingen.

Natuurlijk heb ik meerdere email adressen. Op mijn eigen domeinen. Ik ben vooral fan geworden van de 'weggooi mail adressen'. Voor éénmalig gebruik. Mailnesia is er zo eentje. Of Mailinator. Alleen voor ontvangen (zoals een registratie bevestiging) en uitsluitend online uit te lezen.

Voor langduriger gebruik ben ik fan van Cock.li. Een mailadres naar keuze op allerlei domeinen. Sommige zijn wat expliciet, dus wellicht niet voor iedereen. Maar het werkt. Sinds 2003. Inclusief webmail èn IMAP, POP, and SMTP. Gratis. Donaties worden op prijs gesteld.

Als standaard gebruik ik sinds een paar jaar Protonmail. "Er zijn geen persoonlijke gegevens vereist om een veilig e-mailaccount aan te maken. Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat centraal." Er zijn naast een gratis versie een paar smaken betaalde accounts. De goedkoopste is € 4.00 per maand.

Het lost zeker niet alles op. Het wordt op z’n minst minder makkelijk om personalia bij elkaar te harken.

No google voor medische dossiers

02 April 2019

nono 27

Als je nog steeds denkt dat je gegevens van personen wel kunt laten hosten bij Google, 'in the cloud' zoals dat vrij onnozel, onnodig en 'buzzy' genoemd wordt, dan mankeert er wat aan je verstand. Van 'gezond verstand' kan in dergelijke gevallen geen enkele sprake zijn. Ten eerste omdat het Google is. En Google is evil [1].

Over Google [1]: "Klokkenluider Edward Snowden toonde gedocumenteerd aan hoe de inlichtingendiensten via Google [1] spioneerden. Dat ze de gegevens in Eemshaven opslaan, doet dan niet ter zake.” [2] Hun voortgaande inbreuken op privacy zijn uitgebreid gedocumenteerd, gerapporteerd en beboet. [3] [4] [5]

Ten tweede is 'the cloud’[6] simpelweg een computer van een ander.

Het is nog tot daar aan toe dat je als ziekenhuis het beheer van 'je' data outsourced bij een specialist (het Deventer bedrijf MRDM), het is van een totaal andere orde als je vervolgens de behandelgegevens van je patiënten ook nog eens laat outsourcen aan een bedrijf die qua privacy een bijzonder slechte reputatie en bijsmaak heeft. [1] In dit verband is het tekenend dat de migratie 'in stilte' heeft plaatsgevonden [2].

Data eigenaar

De patiënt is per definitie eigenaar van zijn data. Als ook van de 'verwerking' ervan. Artikel 4 van EU algemene verordening gegevensbescherming (EU-AVG) [7] is duidelijk hierover:

  1. "persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  2. "verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

nono 24

Volgens MRDM zijn de patiëntengegevens 'gepseudonomiseerd'. Whaaah?

Over pseudonimisering in Artikel 4 van EU-AVG [7]

  1. "pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

Het EPD (Electronisch Patienten Dossier) kon er slechts langs een omweg pas na jaren komen, wat op zichzelf een indicator is van ernstige maatschappelijke en politieke twijfel. Dat dataverwerker MRDM niet verplicht is om toestemming te vragen aan patiënten óf om hen te informeren, is juridisch wellicht waar, maar ligt in het verlengde van voornoemde twijfel.

EPD-expert Guido Van ’t Noordende: ,,Burgers moeten altijd kunnen zien wie de verwerkers van hun data zijn, ook als het gepseudonimiseerde gegevens zijn.’’ ,,Voor een gigant als Google, die al zoveel andere data van mensen bezit, is het technisch vaak een fluitje van een cent om deze data toch naar een persoon te herleiden.’’ [2] Daar ga je dan. Als 'data eigenaar'.

Kortom: fout. slecht. Verkeerdom gekanteld.

nono 22

Autoriteit Persoonsgegevens

We hebben tegenwoordig een Autoriteit Persoonsgegevens (AP). Je kunt bij hen terecht als je een klacht wilt indienen omdat je weet of vermoedt dat er een loopje is genomen met je persoonsgegevens. Dat wil zeggen 'als uw persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet'.


Older posts are available in the archive.