Mag WhatsApp data gaan delen met Facebook?

whatsappChat-app WhatsApp gaat standaard accountinformatie van gebruikers delen met Facebook, zodat het sociale netwerk relevantere advertenties gaat aanbieden. Dat meldde Tweakers vorige week. Wie dat niet wil, kan het uitzetten (klik gerust, ik wacht wel even) maar moet wel bedenken dat Facebook dan minder optimaal “spam [kan] bestrijden en advertenties relevanter [] maken”. Maar ik mis iets, mag dit zomaar?

“We have not, we do not, and we will not ever sell your personal information to anyone. Period. End of story”. Dat was ooit de stoere uitspraak van de chatdienst over privacy. Dat werd bevestigd na de aankoop door Facebook – WhatsApp zou een autonoom bedrijf blijven. Maar al is de marketingmeelbal nog zo snel, het wijzigingsbeding achterhaalt hem wel. Want uiteraard had ook WhatsApp ergens in de voorwaarden een “Wij mogen deze voorwaarden herzien en als je dat niet bevalt dan hoepel je maar op”-clausule.

En ja, zulke clausules zijn legaal. De wet ziet WhatsApp als niet anders dan een schoonmaakbedrijf dat elke week je huis komt reinigen. Dienstverlening moet van tijd tot tijd kunnen wijzigen, en het is dan logisch dat de opdrachtgever mag opzeggen. Logisch bij schoonmaken en dergelijke, iets minder logisch bij online diensten en apps. Want dan krijg je dus dit soort dingen.

Privacytechnisch zie ik ook weinig dat je kunt doen. Want ja, de gegevens die ze gaan delen zijn persoonsgegevens onder de Wbp en straks de Privacyverordening (check die cursus) en nee dat mag niet zonder uitdrukkelijke toestemming worden gekoppeld (ook in de VS niet) maar daar komt vast een draai dat stilzitten uitdrukkelijk instemmen is, want dat is het bij de cookiewet ook. Sorry, ik ben alweer rustig.

Ik werd nog getroffen door de reactie van ‘Rainbow’ bij Tweakers:

Wat ik persoonlijk het meest bezwaarlijk vind is dat je er niet onderuit kan, ook als je zelf geen WhatsApp gebruikt (en dus niet hebt ingestemd met de gebruikersvoorwaarden van die dienst). Voorheen was dit nog niet echt een probleem, omdat de privacyvoorwaarden van WhatsApp wel prima waren, ze verzamelden de gegevens, maar deden er in principe niets mee. Nu dus wel.

En dat is hier nog wel een hele interessante. Want inderdaad, bij WhatsApp worden ook telefoonnummers van niet-gebruikers opgeslagen. Hoewel in Nederland alleen als hash zodat niet-gebruikers van WhatsApp beter beschermd zijn, zoals de Autoriteit Persoonsgegevens eind 2015 nog meldde. Maar “hashen == privacy” is ook een beetje overrated: matchen blijft gewoon mogelijk, alleen moet Facebook nog even de hash van de bij haar bekende 06-nummers berekenen. Alleen gebruikers wier 06 niet bij Facebook bekend is (oeps, handig joh die tweefactorauthenticatie), zouden nu buiten schot moeten blijven. Ik ben benieuwd.

Arnoud

26 reacties

  1. “Maar “hashen == privacy” is ook een beetje overrated: matchen blijft gewoon mogelijk, alleen moet Facebook nog even de hash van de bij haar bekende 06-nummers berekenen. Alleen gebruikers wiens 06 niet bij Facebook bekend is (oeps, handig joh die tweefactorauthenticatie), zouden nu buiten schot moeten blijven. Ik ben benieuwd.”

    Eens kijken hoeveel cijfers is zo’n telefoonnummer? 10, waarvan de eerste twee altijd 06 zijn. Effectief zijn er dus 100.000.000 verschillende telefoonnummers. een hele simpele test met SHA256 komt op ca 65.000 hashes per seconde op een redelijk oude quad core CPU (http://stackoverflow.com/questions/4764026/how-many-sha256-hashes-can-a-modern-computer-compute) dat betekent dat facebook in ca 45 minuten op zo’n oude pc de hashes voor alle mobile telefoonnummers heeft. Facebook heeft snellere computers 😉

    Met 10 cijfers heb je alle nederlandse telefoonnummers: in 42 uur heb je een has voor ieder nederlands telefoonnummer, mobiel of vast.

    Het hashen van die telefoon nummers is dus een wassen neus.

    GPUs zijn vele malen sneller dan zo’n oude CPU. Zelfs als ze slats zouden gebruiken en je dus geen rainbow table op kunnen stellen is het geen enkel probleem om ieder nummer apart te ‘kraken’ de ruimte van mogelijke combinaties is domweg te klein om privacy te kunnen waarborgen.

    Dan zou het nog kunnen dat ze een herhaalde hashfunctie gebruiken om tot enkele seconden per berekening te komen. Dan is het wellicht niet meer haalbaar om het hele bestand te ‘kraken’ maar een enkel nummer achterhalen is nog steeds haalbare zaak!

    1. Nu ga je ervanuit dat er voor 100M verschillende telefoonnummers ook 100M verschillende hashes gebruikt worden. Als WhatsApp 100M telefoonnummers omzet in 2M verschillende hashes, is dit hele probleem toch opgelost omdat je dan nooit meer kan “terugrekenen”? Als je toch 1 op 1 de hashes doet kun je net zo goed ROT13 gaan gebruiken als hash.

      1. Whatsapp gebruikt de hashes om mensen met elkaar te verbinden, er mogen dus geen collisions zijn! Tenzij jij het acceptabel vindt om berichten te sturen naar iedereen met dezelfde hash 😉

        Maar je hebt wel gelijk, ROT13 bied netzoveel privacy als iedere andere perfect hash :-/

    1. De salt staat in dezelfde database als de hash, anders heb je er niets aan. Het enige doel/nut van een salt is dat je iedereen een unieke salt geeft, waardoor je niet een enkele rainbow table kan maken. Maar bij een password moet je natuurlijk wel het ingegeven password kunnen vergelijken met de hash en heb je dus de salt nodig. Als je toegang hebt tot de hashes heb je toegang tot de salt.

      Zoals ik al eerder zeg, met zo’n kleine uitkomstenruimte als bij nederlandse telefoonnummers voegt een salt weinig toe aan de (volledig fictieve) privacy.

      1. Als je de salt baseer op bijvoorbeeld de 1e 3 posties van de naam dan is het niet evident welke salt een naam heeft en is de salt toch uniek per vastgelegde persoon. Maakt het voor hackers van buiten toch moeilijker om gestolen data te ontcijferen.

        1. Valt dat niet onder de noemer Security through obscurity? Daar kan je in ieder geval nooit op vertrouwen. En in dit specifieke geval hebben we het niet over hackers, maar over facebook, die zelf 100% bekend is met hoe ze de hashes berekenen. Een dergelijke salt beschermt je nooit tegen facebook die je telefoonnummer terug wil rekenen.

  2. Ik lees in de toelichting (het “overwegende dat”) van de Europese privacyverordening dat opt-out (je moet actie ondernemen als je niet mee wilt doen) niet meer mag. En dat is wèl wat Whatsapp doet met die Facebook-koppeling. Conclusie: strijd met (aankomende) Europese wetgeving. Maar ja, die wetgeving kun je nu nog negeren – slim van ze.

  3. Whatsapp haalt die telefoonnummers van niet gebruikers uit je Contactlijst neem ik aan? Dus nu kan Facebook -nog beter- relaties leggen tussen:

    1) Facebook gebruikers met Whatsapp
    2) Facebook gebruikers zonder Whatsapp
    3) Whatsapp gebruikers zonder Facebook
    4) Gebruikers zonder Whatsapp en zonder Facebook

    En overal waar je op www je mobiele telefoonnummer achterlaat (dat doet Google ook al).

  4. Volgens mij gebruikt facebook allang de gegevens van WhatsApp. Als ik een appje stuur naar een collega, waarmee ik privé verder geen relatie heb wordt deze persoon spontaan weergegeven in het lijsjte “ken je deze mensen, voeg ze toe”… En nee, ik heb niet de FaceBook of Messenger app.

  5. Whatsapp heeft m.i. het vertrouwen onder de gebruikers niet gewonnen door goede beveiliging en/of dienstverlening; het bedrijf geniet m.i. voornamelijk het vertrouwen door de hoeveelheid gebruikers die het heeft (iedereen heeft het, dus het zal wel goed zijn). E.a. ten koste van privacy, beveiliging, machtigingen op telefoons en nu dus ook het (officieel) koppelen van data.

    Reageren met de voet
    Er zijn voldoende alternatieven die – afhankelijk van de beveiliging, privacy en functionaliteiten die men wenst te hebben – gebruikt kunnen worden.

  6. Want uiteraard had ook WhatsApp ergens in de voorwaarden een “Wij mogen deze voorwaarden herzien en als je dat niet bevalt dan hoepel je maar op”-clausule. En ja, zulke clausules zijn legaal.

    Sorry, maar die vlieger gaat niet op. De stoere uitspraak “we have not, we do not, and we will not ever sell your personal information to anyone, period, end of story” is een kernbeding. Je kunt daar in je AV niet vanaf wijken. (Sterker nog, een kernbeding is per definitie niet een algemene voorwaarde.)

    1. Volgens mij kun je alles in je AV; wat in ieder geval kan, is een wijzigingsbeding dat de gehele overeenkomst op zijn kop zet zolang je de klant maar een opzegrecht geeft. Ook bij kernbedingen.

      (Volgens mij is een kernbeding alleen een beding waarzonder de overeenkomst onbepaalbaar zou zijn, dit begrip wordt erg beperkt uitgelegd.)

      1. Als het geen kernbeding is of een kernbeding is toch te wijzigen in je AV, kun je dan op z’n minst niet spreken van false advertising? Die uitspraak was een van de redenen dat mensen WhatsApp kozen. Bait and switch heet dat geloof ik.

        Daarnaast een vraag over beloftes over de toekomst in voorwaarden: Ik snap dat als ik in m’n AV stel dat ik geen gegevens deel met derden, maar dat ik wel de voorwaarden mag wijzigen, dat je dan pech heb als ik ze wijzig zodat ik ineens wel gegevens mag delen. Maar als ik in mijn voorwaarden zet dat ik nooit gegevens zal delen en ik doe dat vervolgens toch na het wijzigen van mijn voorwaarden, dan breek ik een belofte. Ik vind dat een ander verhaal.

      1. Ik denk dat hier ook de kern van de problematiek zit. Facebook is een partij waaraan Whatsapp de hele privacyschendende zooi kan uitbesteden zonder zelf in overtreding te komen. Ja, Whatsapp is van Facebook, maar is een aparte rechtspersoon met separate voorwaarden. Google is ook bij uitstek zo’n club waar je privacy gevoelige informatie niet hoeft te kopen. Google verteerd de informatie en presenteert een kant en klare oplossing aan de klant zonder de informatie zelf te verkopen.

  7. Meh. Waar ik meer benieuwd naar ben is wat je als gebruiker uiteindelijk kunt doen indien WhatsApp/Facebook alsnog je prive-gegevens misbruikt. Er is in de meeste gevallen immers geen schade. Dus zal er een of andere Waakhond-organisatie stappen moeten ondernemen en dat zie ik ook niet snel gebeuren…

    Maar misschien is het gewoon tijd voor extra wetgeving die een minimaal schadebedrag vastlegt per persoon voor privacy-schendingen. Zeg, € 250 of zo per overtreding. Dan wordt procederen wel een stuk interessanter en is er een grotere afschrikwekkende werking omdat er dan opeens miljoenen gebruikers ieder schade kunnen claimen. 🙂

  8. Och. Anders kan WhatsApp zich altijd nog failliet verklaren en het adressenbestand via de curator op laten kopen door Facebook. Dat is ook de normaalste zaak van de wereld en dan gaat de AV ook niet meer op.

    Persoonsgegevens zijn simpelweg vogelvrij.

    Hmm. Mag een curator een klantenbestand ook meerdere keren verkopen? Deze is immers toch nergens aan gebonden.

    1. En mag een curator andere gegevens verkopen? Noem eens wat: Strategie voor lopende rechtszaken van een failliete advocaat? Naaktfoto’s die toevallig op een harde schijf van een failliete cloudopslag staan? De computer van een failliete onderaannemer van een bouwer van miliatire duikboten, waar de bouwtekeningen van die duikboten op staan?

      1. Strategie voor lopende rechtzaken verkopen loopt op de vertrouwelijkheid van deze informatie. De failliete advocaat zal deze informatie niet aan de curator mogen verstrekken. En wat hij niet heeft kan hij niet verkopen.

        Nog naast het feit dat die rechtzaak waarschijnlijk overnieuw moet als de verdachte hierdoor benadeeld wordt.

        Naakt foto’s? Nee de cloudopslag heeft geen auteursrechten of licentie hiervoor, dus die kan de curator ook niet verkopen. Nog afgezien van portretrecht en het belang van de geportretteerde.

        Ten slotte wens ik de curator die staatsgeheimen publiceert veel succes bij de verdere uitoefening van zijn beroep … vanuit de cel.

        Kortom, de curator mag wat met de bezittingen van de failliet, en mag diens overeenkomsten negeren. Hij mag niet overeenkomsten uit het niet doen verschijnen 😉

        1. Ja, zo simpel bedoel ik het dus niet:

          In het eerste geval: die strategie staat op de computer van de failliete advocaat. De curator vindt die, en denkt: dat zal wel wat waard zijn voor de juiste partij….. De advocaat heeft niets verstrekt, is failliet en heeft geen toegang meer tot zijn kantoor, is misschien wel overleden. Of de advocaat heeft wel verstrekt, maar daar heeft de curator verder geen boodschap aan. Wat valt de curator te verwijten?

          In het tweede geval: verander die naaktfoto’s in ‘foto’s met een hoge nieuwswaarde’. Geen licentie nodig. Belangenafweging is ook in het nadeel van de ‘eigenaar’. Niets houdt de curator dan tegen om die foto’s aan de Telegraaf te verkopen. Misschien een disciplinair orgaan van de curatoren?

          In het derde geval: je kunt toch niet van de curator verwachten dat hij alle harde schijven gaat doorzoeken en gaat checken op staatsgeheimen? En als hij het al doet: Daar staan tekeningen op van onderzeeer type 123.abc. Weet die curator veel (als het hem al specifiek is opgevallen) of dat een hypermoderne militaire onderzeeer is of een dertig jaar oud hulpbootje voor diepzeeduikers.

          Stel het algemener: Als een curator de overeenkomsten van de gefailleerde mag verbreken, dan geldt dat toch zeker ook voor geheimhoudingsovereenkomsten (en zelfs misschien voor wettelijke plichten die alleen op de gefailleerde van toepassing zijn). Ik zou dus denken dat hij eerder wel dan niet ‘informatie’ mag verkopen.

          1. Alle gevallen komen op hetzelfde neer: is het onderdeel van de boedel. 1. Informatie is geen onderdeel van boedel, advocaat mag vertrouwelijke informatie wettelijk niet aan derden verstrekken. 2. Zijn de auteursrechten of het recht om sublicenties te verschaffen onderdeel van de boedel? 3. Die curator neemt zelf het risico als hij het niet controleert. Heb één keer een PC uit failiette inboedel gekocht, die was schoongepoetst.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.