Privacy en veiligheid bij Zoom

Bij ‘internetveiligheid’ denk je waarschijnlijk dat jij wilt bepalen welke mensen jouw gegevens kunnen zien. Dat mensen jouw gegevens kunnen zien is echter allang niet meeer het probleem. Wat wel? Lerende computersystemen. Die verwerken jouw gegevens buiten jouw invloed, en beïnvloeden jouw gedrag buiten je medeweten.  

Videodienst Zoom maakt sinds de coronacrisis een megagroei door. Ik heb onderzocht of het veilig is. Dat is het niet. Het is een geaffilieerde service van Facebook. Daar focus ik op in dit blog, maar eenzelfde betoog is mogelijk over Google, Microsoft, Amazon en hun dochterbedrijven.

Facebook slaat, met jouw toestemming, verschillende gegevens op in jouw gebruikersprofiel.

Zonder jouw toestemming of medeweten ‘monitort’ Facebook jou als een laboratoriumrat: wanneer je actief bent, en hoe lang; hoe snel je typt en scrollt; hoe vaak en hoe snel je iets liket, en wat dan. Facebooks lerende netwerk ‘verzamelt’ zo lucratieve informatie over jou, tot aan je hartslag en je menstruatiecyclus, via gerelateerde apps.

In onze rechtsstaat heet ‘monitoring’: spionage, en ‘verzamelen’: stelen.

Surveillance

Met die gegevens manipuleert Facebook je feed, om je te verleiden tot koop- like- of stemgedrag dat winst oplevert. Facebook manipuleert zelfs emoties om gebruikers tot winstgevend gedrag aan te zetten. Vooral angstige en onzekere gebruikers bleken gemakkelijk manipuleerbaar tot betalen voor emotionele oppeppers. Facebook toonde burgers in de VS en VK op momenten dat zij daarvoor gevoelig waren (gemaakt), positieve berichten over Trump of de Brexit, en verminkte zo democratische processen.

Harvardhoogleraar Shoshana Zuboff noemt dit surveillance capitalism: winstmaximalisatie  gebaseerd op gedragscontrole en manipulatie waaraan je nauwelijks kunt ontsnappen.

Privacyschending als verdienmodel

Toen gealarmeerde burgers in 2019 via de rechter inzage eisten in hun ‘opgeslagen’ Facebookdata, reageerde Facebooks advocaat: Wie op Facebook gaat, negates any reasonable expectation of privacy.  Ze kregen hun data niet te zien. In rechtsstaat-taal: Privacyschending is de bestaansvoorwaarde van Facebook.

Moeilijk te geloven.

Want ben jij cynisch genoeg om een verdienmodel te verzinnen, gebaseerd op privacyschending en manipulatie van miljoenen mensen? Het duurde dan ook even totdat  onderzoekers en klokkenluiders gehoor vonden.

Privacyschendingen van Zoom

Al snel na de ‘explosie’ van het Zoomgebruik door de coronacrisis werden privacyproblemen bekend. Privacybeschermers moesten maatregelen via de Federal Trade Commission afdwingen: Zoom intentionally designed their web conferencing service to bypass browser security settings (…) without the consent of the user. As a result, Zoom exposed users to the risk of remote surveillance, unwanted videocalls, and denial-of-service attacks. When informed of the vulnerabilities Zoom did not act until the risks were made public, several months after the matter was brought to the company’s attention.

Op 26 maart 2020 publiceerde sociologisch blog Vice dat de zoom-app voor iPhone direct bij opening allerlei gebruikersgegevens lekte: …the model, the city and timezone they are connecting from, which phone carrier they are using, and a unique advertiser identifier

Vice ontdekte dat Zoom een populair softwareontwikkelingspakket van Facebook had gebruikt, met meegeprogrammeerde ‘leksoftware’. Shoshana Zuboff muntte dit als bug by design, een opzettelijk meegeprogrammeerd datalek, dat kan lekken zolang het niet ontdekt wordt.

Rond 27 maart verwijderde Zoom het ‘datalek’ en herschreef stilzwijgend het privacy-statement:
“Zoom does not sell customer content to anyone or use it for any advertising purposes.”
Een leeg statement, dat langs de randen van de wet schuurt. Er zijn namelijk talloze manieren om data te ‘monetariseren’ en regulering van dataverkoop te omzeilen (Facebook verkoopt bijvoorbeeld geen data, maar ‘klikkansen’): Such practices would technically make it true that your personal data was not “sold,” but a company would still make money from your data.

Vice citeerde (31 maart) uit een andere rechtszaak:
Zoom appears to have taken no action to block any of the prior versions of the Zoom App from operating. Thus, unless users affirmatively update their Zoom App, they likely will continue to unknowingly send unauthorized personal information to Facebook, and perhaps other third parties. Zoom could have forced all iOS users to update to the new Zoom App to continue using Zoom but appears to have chosen not to.

Zoom verlegde dus de verantwoordelijkheid voor gebruiksveiligheid naar de individuele gebruikers en beschermde ze niet tegen de privacyschending die het zelf geprogrammeerd had.

Encryptie

De Amerikaanse Consumer Report adviseert je om tijdens Zoomsessies je camera altijd uit te schakelen, en de microfoon alleen in te schakelen als je spreekt. Zoom heeft namelijk toegang tot alle beelden, gesprekken en chats. Een technische uitleg:

Internetveiligheid wordt gegarandeerd door end-to-endencryptie. Als ik jou een bericht stuur via mijn telefoon, zijn onze telefoons twee ends. Onze berichten worden versleuteld (encrypted), zodat ze alleen op onze telefoons gelezen kunnen worden.

End-to-endencryptie voor tekstberichten is technisch eenvoudig; voor videobellen is het complexer. Beeldbellen vraagt veel bandbreedte (je verzendt veel gegevens tegelijk). Privé-computers of smartphones hebben die bandbreedte niet; er moet een server tussen.

Daarvoor is ‘transport encryption’ ontworpen. De server is dan ook een end; die heeft dus toegang tot alle uitgewisselde informatie. Een bedrijf kan die toegang afsluiten, maar evengoed openhouden. En zelfs ‘benutten’ voor dataspionage.

Zoom stelt dat het end-to-end encryptie gebruikt. Het is alleen niet waar. Zoom gebruikt transport encryption, net als alle videoservices, en gaf dat pas toe onder publicitaire druk.

Doc Searls, marketingonderzoeker bij het Berkman Klein Center van Harvard University,  stelt over de vage privacyverklaring: … that Zoom is in the advertising business, and in the worst end of it: the one that lives off harvested personal data. (..) extra creepy is that Zoom is in a position to gather plenty of personal data, some of it very intimate (for example with a shrink talking to a patient) without anyone in the conversation knowing about it. (Unless, of course, they see an ad somewhere that looks like it was informed by a private conversation on Zoom.)

Het goede nieuws is: er is een alternatief.

Open source technology

De broncode (source) van een programma bepaalt wat een programma doet en hoe het dat doet. Als die broncode openbaar (open) is, kunnen collega-programmeurs en gebruikers de ontwikkeling van de code bijsturen. Op efficiëntie, effectiviteit, maar ook op waarden, zoals beslissingen of adverteerders worden toegelaten, en op welke (integriteits-)voorwaarden. En belangrijker: er is geen monopolist die de broncode afschermt en jouw data kan misbruiken voor zijn doelen. Open source technologie is per definitie geen surveillancetechnologie, en past dus veel beter bij een democratie. Je kunt als gebruiker ook ‘prosumer‘ worden, een mix van producer en consumer: een gebruiker die het programma mee-onwikkelt.

Veiligheid bij open source videoprogramma’s is gebaseerd op de vraag of je de beheerder van de server vertrouwt. Als die jou transparant laat weten welke gegevens van jou worden opgeslagen, voor welk doel en hoe lang, kun je besluiten of je de server wilt gebruiken.

Er zijn open source videoprogramma’s, waaronder Jami en Jitsi.
Jitsi is transparant over privacy, en is op de voet te volgen. Jitsi werkt aan echte end-to-endencryptie. Jami heb ik nog niet onderzocht.

Let wel: Jitsi is under construction; er zitten nog bugs in, zoals instabiliteit bij meer dan vijf deelnemers. Het is niet zo comfortabel als Zoom. Maar dat is een kwestie van tijd en inzet. Hoe meer gebruikers Jitsi kiezen, hoe sneller het uitgroeit tot een technisch volwaardig videobelprogramma.

Proberen?
Een Jitsi-server met transparante privacyverklaring vind je hier.
Veilige alternatieven voor Zoom en andere toepassingen vind je hier.
En hier en hier vind je meer over democratisch internet.

Geef een antwoord