Google helpt cybercriminelen een handje

'Omgekeerd' zoeken
“Het probleem is niet eens zo zeer dat persoonlijke informatie op internet vindbaar is. Die mensen hebben het immers zelf online gezet, dus mag je aannemen dat het op zich niet al te vertrouwelijk is. Het venijn zit ‘m er in dat het die informatie over al die mensen in één dataset afzoekbaar wordt. Dat opent de mogelijk om ‘omgekeerd’ te zoeken: ‘doe mij alle mensen met die en die kenmerken’. Als dat groepje van kenmerken goed wordt gekozen dan leidt het uiteindelijk tot een zeer specifieke selectie van individuen” waarschuwt Koots promotor Cees de Laat. Als sprekend voorbeeld noemt hij de combinatie van geslacht, geboortedatum en postcode, die personen in 90 procent van de gevallen eenduidig identificeert. Maar ook combinatie van bijvoorbeeld een Twitterbericht en een Picasafoto kan soms identificerend werken. In grote datasets levert zoeken naar ‘toevallig’ unieke combinaties van kenmerken volgens De Laat altijd hits op waarmee cybercriminelen en marketeers hun voordeel kunnen doen.

In grote bestanden is het makkelijk filteren
Koot en De Laat maken zich vooral zorgen over mogelijk gebruik van de gegevens door criminelen: “In de miljoenen profielen is het gemakkelijk om 'interessante' groepen te filteren. Wie werkt bij politie, justitie of defensie? Wie reist veel en maakt foto's met dure camera's? Criminelen kunnen verschillende profielen aan Twitter, Hyves, LinkedIn en Facebook koppelen en gebruiken voor het versturen van slimme mails aan voor hen interessante slachtoffers. E-mails die afkomstig lijken van een bekende en verleiden te klikken op een link naar een malafide site.”

Interessant voor banken, verzekeraars, werkgevers en overheid
Maar behalve criminelen zouden ook bedrijven op bedenkelijke wijze gebruik kunnen maken van de informatie die Google wel erg eenvoudig doorzoekbaar maakt. Koot: “Er kunnen bedrijfjes ontstaan die deze gegevens gedurende langere tijd over je bijhouden en er informatie uit destilleren die interessant is voor banken, verzekeraars, werkgevers en overheid. Bedrijfjes die buiten het Europese privacyrecht opereren. Heb je ooit op Twitter iets gezegd over je zwakke hartkleppen of gebruik van antidepressiva? Ben je kritisch geweest over vorige werkgevers? Vormen mensen in jouw omgeving een risico? (...) Ook toekomstige werkgevers of verzekeraars kunnen gebruikmaken van informatie die mensen nietsvermoedend op hun persoonlijke pagina's zetten.”

Tot dusver geen actie van Google
Koot verwacht nog dit jaar te promoveren op een onderzoek naar strategieën en mogelijkheden om anonieme gegevens tot individuen te herleiden. Op zich zal dat altijd met een zeker promillage van de gegevens die online staan mogelijk zijn, maar bepaalde slordigheden van bedrijven maken het wel heel erg makkelijk en grootschalig mogelijk. Het downloaden van de 35 miljoen Profiles kostte Koot 2 weken. Google had dus alle gelegenheid om het op te merken en te blokkeren. “De gegevens staan online ten behoeve van webcrawlers, maar normaal gesproken zet je daar een ‘autothrottle’ op die voorkomt dat alles in een keer wordt opgehaald. Of je werkt met een whitelist, waar iemand op moet staan om het te kunnen gebruiken” legt De Laat uit. Maar Google vindt dat blijkbaar niet nodig. Koot informeerde het bedrijf over het mogelijke misbruik, maar dat heeft tot dusver (nog) niet tot actie geleid.