Scantool beoordeelt websites op omgang met privacygevoelige data

Promovenda Elisa Costante van de TU Eindhoven bouwde een tool waarmee privacygedrag van websites in kaart gebracht wordt. De algoritmes analyseren de privacy-policy en berekenen de 'privacykosten' van de website. Ook wordt 'abnormaal gedrag' gedetecteerd in databases.

Privacy throughout the data cycle elisa costante tueHet werk van Costante bestaat vooralsnog alleen als een losstaand algoritme en nog niet als een volwaardige applicatie. De broncode is beschikbaar voor onderzoekers. Een daadwerkelijke plug-in voor een webbrowser is er dan ook nog niet, zegt Costante tegen Tweakers. Costante hoopt dat er na de publicatie van het onderzoek geïnteresseerden daadwerkelijk met de code aan de slag gaan.

De onderzoekstool waarschuwt vooraf hoe een site omgaat met persoonlijke gegevens. De software geeft de websites een cijfer, waarbij geldt: hoe hoger, hoe beter het met de privacy is gesteld. Voor het doorspitten van de eula's van websites wordt nu nog alleen gebruik gemaakt van Engelstalige termen, waardoor in principe elke website met een terms of service in die taal gescand kan worden.

Voor de berekening van het privacycijfer, kijken de algoritmes onder andere naar de gevoeligheid van de opgeslagen gegevens en hoe lang de privacygevoelige data bewaard worden. Ook wordt rekening gehouden met de koppeling aan andere webdiensten, die vaak ook elk hun eigen privacy-policy hebben.

Als voorbeeld wordt in het onderzoek van Costante een 'orkestratiemodel' van een reiswebsite genoemd. Die site maakt gebruik van hotelwebsites, autoverhuursites en Google Maps. De tool werkt in stappen: eerst kijkt hij in hoeverre het privacybeleid onderwerpen afdekt, dan naar de betekenis en vervolgens naar de ernst van het gebruik van de data door de provider.

Voor haar promotieonderzoek nam Costante de hele cyclus van onlinedataverkeer onder de loep om oplossingen te bedenken voor zwakke punten. Zo blijkt in het laatste deel van haar onderzoek dat databases waar providers persoonlijke gegevens opslaan, niet goed beveiligd zijn. Ze hebben wel toegangscontrole, maar houden niet in de gaten wat de gebruikers van de desbetreffende data doen als ze binnen zijn.

Daarom ontwikkelde Costante ook een tool om afwijkend gedrag in databases op te sporen. Deze tool staat los van hoe een normale internetgebruiker een website gebruikt. De software controleert de achterliggende database, maar kijkt niet naar het netwerkverkeer. De door een gebruiker ingevoerde data komt ten slotte terecht in een database die kan worden ingezien door bijvoorbeeld een werkgever of een systeembeheerder. In die systemen zitten volgens de onderzoekster veel potentiële datalekken.

In het onderzoek wordt geclaimd dat het de eerste tool is die relatief weinig valse alarmen afgeeft en het dataverkeer niet merkbaar vertraagt. Het bedrijf SecurityMatters, een spin-off van de TUe en de Universiteit Twente, gaat de resultaten van Costante's werk aanbieden in een product. Het proefschrift zal binnenkort te vinden zijn in de publicatie-repository van de universiteit.

privacy throughout the data cycle elisa costante eindhoven

Voorbeeld van een orkestratiemodel

Door Krijn Soeteman

Freelanceredacteur

Feedback • 01-04-2015 12:21 16

01-04-2015 • 12:21

16

Lees meer

Black Hat-bezoekersenquête: 73 procent verwacht ernstig datalek binnen een jaar
Black Hat-bezoekersenquête: 73 procent verwacht ernstig datalek binnen een jaar Nieuws van 16 november 2015
Gerucht: Europese mobiele providers komen met 'adblock'-abonnement
Gerucht: Europese mobiele providers komen met 'adblock'-abonnement Nieuws van 15 mei 2015
Google verliest zaak tegen Safari-gebruikers na omzeilen do-not-track-optie
Google verliest zaak tegen Safari-gebruikers na omzeilen do-not-track-optie Nieuws van 27 maart 2015
Tweede Kamer is kritisch over nieuwe bewaarplicht
Tweede Kamer is kritisch over nieuwe bewaarplicht Nieuws van 25 maart 2015
Ministerie: providers mogen zelf weten wat ze met data bewaarplicht doen
Ministerie: providers mogen zelf weten wat ze met data bewaarplicht doen Nieuws van 17 maart 2015
Sony Pictures verwacht kritieke systemen in februari online te hebben na hack
Sony Pictures verwacht kritieke systemen in februari online te hebben na hack Nieuws van 23 januari 2015
'NSA had ruim voor Sony-hack toegang tot systemen spionagedienst Noord-Korea'
'NSA had ruim voor Sony-hack toegang tot systemen spionagedienst Noord-Korea' Nieuws van 19 januari 2015
'Veilige' browserfeature laat websites gebruikers volgen in incognitomodus
'Veilige' browserfeature laat websites gebruikers volgen in incognitomodus Nieuws van 7 januari 2015
Meer producten en artikelen
Wetenschap

Reacties (16)

-Moderatie-faq
16
16
13
1
0
0
Wijzig sortering
SPee 1 april 2015 15:51
Ik zou willen dat dit bericht geen grap was. ;(

Hoe kan een tool nou een EULA scannen en daarvan een beeld vormen? 8)7
Onduidelijke tekst waar zelfs advocaten het moeilijk mee hebben, geen standaard locatie, of zelfs geen EULA. Dat maakt het onmogelijk om te bepalen wat bedrijven ermee doen.

Daarnaast: databases controleren?
Dat kan enkel door de eigenaar gedaan worden. Een Facebook, Google, etc geeft geen toegang tot de DB aan gebruikers. Dus kan de gebruiker ook geen controle op uitvoeren.
En die weet ook niet met welke systemen er allemaal koppelingen zijn. Dat staat ook niet publiek.

En hoeveel vertrouwen heb je als je zo'n cijfer van de website zelf krijgt? Geen toch?
Nicael @SPee1 april 2015 18:20
Als ik haar Google Scholar papers bekijk gok ik dat het Machine learning is. https://scholar.google.nl...s?user=q63GPZUAAAAJ&hl=en

Dus ik denk dat de machine leert waarvoor bepaalde zinnen bedoeld zijn. Dat de tool daarmee de EULA scant.

Het algoritme is denk ik meer bedoeld voor de gebruiker zelf. Je kan als het een extensie is gewoon de EULA dan nog steeds scannen. Dan hoef je niet op de "Wij van WC-eend, adviseren WC-eend" methode te vertrouwen.
crunchytail 1 april 2015 12:25
Mooi initiatief. Mag veel meer aandacht aan privacy mbt individuele websites worden besteed.
hoogevost @crunchytail1 april 2015 12:28
Inderdaad, hopende op een vervolg met resultaten van 'de grootste partijen'!
Timfonie 1 april 2015 13:13
Zeer goed initiatief. Zo kan het doorgaans onzichtbare zichtbaarder gemaakt worden, waardoor mensen zich bewuster van privacy-inbreuk worden. De laconieke houding van velen is deels te wijten aan het feit dat privacyschending grotendeels onzichtbaar achter de schermen gebeurt.

Met een tool als deze kunnen mensen besluiten sommige websites links te laten liggen, wat voor een positieve selectiedruk zorgt.
Anderzijds is het wel zo dat als men te zien krijgt dat veel favoriete sites een hoop persoonlijke informatie verzamelen, de neiging bestaat om deze privacyschending voor lief te nemen omdat men de sites toch wil blijven gebruiken. Bewustwording van die privacyschending en ondertussen toch de site blijven bezoeken, betekent dan meer acceptatie van de informatieverzameling, om de cognitieve dissonatie weg te werken.
walteij @Timfonie1 april 2015 13:41
Die laatste alinea die je hier schrijft is inderdaad wel erg belangrijk!
Als ik een plugin bij mijn schoonouders in de browser zou installeren, zullen ze zich bij facebook (waarschijnlijk) rot schrikken van het lage cijfer.
Als nu blijkt dat nu.nl, telegraaf.nl en youtube ook relatief laag scoren (waar ik niet van zou staan te kijken), worden de alarmbellen al snel gedempt en nadat er 8 sites zijn geweest die minder dan een 4 scoren, kijken ze waarschijnlijk niet meer naar die melding.

Wel lijkt het mij een handige oplossing en wie weet, wordt het bewustzijn van 'normale' eindgebruikers hiermee wel een beetje geprikkeld (zal ik nou wel of niet die goatse op facebook plaatsen).
aval0ne 1 april 2015 15:20
Een tool die op zoek is naar privacy gevoelige data omwille van de privacy. Een 1 april grap toch?
bstard @aval0ne1 april 2015 15:23
Mag 't hopen, of er zit een huzaren stukje aan sql injectie in om de achterliggende db's te scannen.
Verwijderd 1 april 2015 12:24
De algoritmes analyseren de privacy-policy en berekenen de 'privacykosten' van de website.
Best interessant ik zou wel willen weten hoe de paar echte grote internet-dienstverleners uit die test komen, en wat de onderlinge verschillen zijn.
RobinM16 1 april 2015 12:27
Ik kan niet anders dan dit toejuichen! Goed dat we, hopelijk binnenkort, dingen kunnen zien van anderen.
bommel 1 april 2015 14:42
Ik gebruik sinds een tijdje de plugin Ghostery, deze plugin blokkeert trackers maar maakt ook zichtbaar welke trackers een pagina gebruikt en geeft meer informatie over wat deze trackers doen. Een aanrader!

Zo gebruikt deze Tweakers pagina er 4: Doubleclick, Google AdSense, Google Analytics en Webtrekk.
jozuf 1 april 2015 15:07
In die systemen zitten volgens de onderzoekster veel potentiële datalekken

Joh, dat is de bron van de data. Niet zo raar dat daar de meeste potentiële lekken zitten, aangezien er vanalles aan word geknoopt.
HMC 1 april 2015 12:56
Wie scant de scan tool!!!

:P ;)
TIGER79 @HMC1 april 2015 13:46
De broncode is beschikbaar voor onderzoekers.
Het betreft alleen de algoritme op het moment, maar als er een open source plugin van wordt gemaakt dan kun je het zelf "scannen" ;)

[Reactie gewijzigd door TIGER79 op 27 juli 2024 04:36]

itcouldbeanyone 1 april 2015 12:53
ben benieuw wat voor cijfer je krijgt als je naar de site van nsa gaat

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq