'FTC gaat Facebook recordboete opleggen wegens privacyschendingen'

De Amerikaanse marktwaakhond FTC gaat Facebook naar verluidt mogelijk een 'recordboete' opleggen. Dit in het kader van het Cambridge Analytica-schandaal. Het exacte bedrag staat nog niet vast.

Volgens The Washington Post zou de boete een record zijn voor de FTC. Hij kan hoger zijn dan de 22,5 miljoen dollar die Google in 2012 moest betalen. Die boete was echter een fractie van de winst die Google in een jaar maakte, en datzelfde gaat mogelijk gelden voor deze boete voor Facebook. De socialmediagigant maakte bijvoorbeeld meer dan vijf miljard dollar winst in het derde kwartaal van 2018.

De onderbouwing voor de boete zou het schenden zijn van een overeenkomst met de overheid waarin het beloofde gebruikersdata te beschermen. Dat naar aanleiding van acht andere privacyschendingen uit het verleden, zoals het openbaar maken van vriendenlijsten zonder gebruikers in te lichten of te vragen om toestemming.

De FTC zou met de boete het voorbeeld volgen van de Britse privacywaakhond ICO. Die legde in oktober van vorig jaar een boete van omgerekend 565.000 euro op aan Facebook. Dat was het hoogste bedrag binnen de macht van de organisatie. Een officiële bekendmaking van de boete moet 'binnenkort' volgen, aldus de anonieme bronnen.

De grootste aanleiding voor de boete is het Cambridge Analytica-schandaal, waarin gebruikersgegevens van 87 miljoen Amerikanen zonder toestemming werden gebruikt om gerichte campagneadvertenties te tonen aan Amerikanen.

IT-banen

Reacties (109)

albatross 19 januari 2019 12:08

22,5 miljoen dollar is geen boete, maar verklaring dat je gewoon schaamteloos door kunt gaan met al je schendingen, en daar wellicht ooit een 'boete' vooor zult moeten betalen, ter hoogte van 0.44% van je winst. Wat een aanfluiting.

Zo'n bedrijf hoort een boete van 1 miljard dollar te krijgen. Dat voelen ze dan nog nauwelijks, maar zal in ieder geval ergens op iemands radar verschijnen.

Verwijderd @albatross • 19 januari 2019 21:13

Zo'n bedrijf hoort een boete van 1 miljard dollar te krijgen

Zo'n land wat die boete oplegt moet zijn grondwet veranderen waardoor dezelfde overtreding een andere straf kan hebben naar gelang de dader rijk is. Geweldig idee, in sommige landen ook al werkelijkheid. Maar al die landen lopen dat tegen een muur als de dader geen inkomsten heeft.

In jouw denkbeeld zou een startup die 500 miljoen in de min staat en hetzelfde doet een boete krijgen van minus een miljard? Of 1 dollar? Zeg het maar, leg maar uit hoe je een systeem maakt waarin bedrijven die geen winst maken ook aangepakt kunnen worden. 10 dollar? 100 dollar? Of wil je een hoge boete betaald door de aandeelhouders, moet je zien hoe snel bedrijven dan vluchten.

Je commentaar krijgt veel plusjes, maar hebben de mensen die je die plusjes gaven wel door wat de problemen zijn. Populaire reacties doen het goed op Tweakers de laatste jaren maar of de discussie daarmee vooruit gaat? In mijn ogen absoluut niet.

Als je Facebook een boete geeft van een miljard dollar (onmogelijk maar laten we een voorbeeld maken) omdat ze veel winst maken. Wat doe je dan met een bedrijf dat geen winst maakt en hetzelfde doet.

Zeer eenvoudige vraag. Geen jurist die het antwoord weet, jij wel albatross?

andreetje @Verwijderd • 20 januari 2019 08:51

Het draait er niet om hoeveel winst een bedrijf heeft.

Het draait er om hoeveel omzet er extra gegenereerd is door het overtreden van de wet.

Daarnaast kun je nog rekening houden met de impact die de overtreding heeft op de samenleving.

Als je het vergelijkt met de boetes die de RIAA oplegt aan gezinnen die voor eigen gebruik auteursrechtelijk beschermd materiaal hebben gedownload, dan is 1 miljard boete voor Facebook nog veel te laag. Facebook verzamelt zelfs gegevens van niet-FB gebruikers via FB-gebruikers.

Wat mij betreft mag Facebook hard geraakt worden. Om een voorbeeld te stellen. 20 miljard dollar zou een mooie boete zijn.

Verwijderd @andreetje • 20 januari 2019 11:53

Tuurlijk, waarom dan niet eens 20 triljard? De nuance is zoals gewoonlijk weer ver zoek hier. Ik ben absoluut tegen de manier waarop fb met privacy omgaat en er mag hard tegen opgetreden worden, maar hier wordt blijkbaar gedacht dat een boete van enkele tientallen miljoenen niets voorstelde. Dat is natuurlijk belachelijk. Het gaat enkel en alleen om de VS in dit specifieke geval, die hebben tot nader order geen zaken met de privacy van de fb gebruikers in de rest van de wereld ( laat aub de commentaren ivm NSA acherwege, daar gaat het niet over). Fb is voor zover mij bekend nog niet eerder veroordeeld voor privacyschending in de VS. Het gaat dus niet om een veroordeelde recidivist, want ja, de volgende keer zal een rechtbank er terdege rekening mee houden dat fb al eens veroordeeld werd (sommigen schijnen hier te insinueren dat deze boete eigenlijk een tax is die toelaat om privacy te schenden).

andreetje @Verwijderd • 20 januari 2019 21:14

Enkele miljoenen stelt inderdaad niets voor voor een bedrijf als Google.

FB overtreedt niet zomaar of per ongeluk de wet, maar doet dat bewust om miljarden extra te verdienen.

Niet alleen moeten die extra inkomsten verbeurd verklaard worden. Tenslotte is het gek dat je het geld dat je met je illegale gedrag verdient, mag houden.

Maar daarnaast moet er een boete op staan.

Als iemand een miljoen van de bank rooft, zeggen we ook niet: met €20.000 boete ben je er vanaf.

Verder is de impact van wat FB gedaan heeft dermate groot, dat een voorbeeld gesteld moet worden.

Verder is FB misschien nog niet veroordeeld, maar FB verzamelt wel illegaal gegevens, zelfs van mensen die nog nooit een FB account hebben gehad. Straffen die hap, en hard.

albatross @Verwijderd • 20 januari 2019 06:23

In jouw denkbeeld zou een startup die 500 miljoen in de min staat en hetzelfde doet een boete krijgen van minus een miljard? Of 1 dollar? Zeg het maar,

Gelieve geen woorden in mijn mond te leggen; zeker niet wanneer het wartaal betreft.

Ik zei dat Facebook een boete van 1 miljard dollar verdiend. Niet meer. Zulke boetes dienen m.i. proportioneel te wezen (in dit geval, een forse 'portie' van de winst, zodat het voelbaar is). Geef iemand met een uitkering een boete van 100 euro, en het zal een gevoelige klap wezen; geeft Facebook een boete van 100 euro, en niemand (zijzelf incluis) zal ook maar kunnen herinneren dat het gebeurd is. Het concept is niet razend ingewikkeld.

"Als je Facebook een boete geeft van een miljard dollar (onmogelijk maar laten we een voorbeeld maken) omdat ze veel winst maken. Wat doe je dan met een bedrijf dat geen winst maakt en hetzelfde doet."

Een boete die past bij hun verdienmodel, dus (hier dus een zeer lage boete, alleen 'punitatief' eigenlijk). Maar dat maakt je vraag ook meteen zo goed als irrelevant: een obscuur bedrijfje dat geen winst maakt en/of nauwelijk omzet heeft, is per definitie ook niet de grote speler die Facebook is; en daarmee is ook meteen de omvang van hun 'slechte' daden vrij beperkt, en niet wereldwijd, zoals het geval is bij Facebook (denk bijv. aan een webwinkeltje dat je niet helemaal zuiver is omgegaan met je personalia).

morten @Verwijderd • 21 januari 2019 09:40

Je stelt een goede vraag en ik heb daar ook niet direct een antwoord op moet ik bekennen.
Echter, met de komst van GDPR heeft men in Europa bedrijven ook gewaarschuwd voor boetes die afhankelijk zijn van de jaaromzet van een onderneming.

Met precies dezelfde gedachtegang als hierboven door albatross beschreven.
In Finland zijn boetes voor snelheidsovertredingen ook inkomensafhankelijk.

Hoewel je kritiek niet geheel onterecht is, kan ik me toch wel vinden in een dergelijke strafmaat, in deze wereld van altijd groeiende ongelijkheid mogen de sterkste schouders best wat meer gaan dragen.

batjes @Verwijderd • 19 januari 2019 21:41

Bedrijven die geen winst maken gaan failliet. Boetes kunnen mooi helpen.

Ook hierom hebben we hier boetes in de vorm van een bedrag of percentage globale omzet.

kutsjoerd @batjes • 20 januari 2019 10:56

Dit is niet waar. Kijk alleen al naar elke non-profit organisatie, die maken ook geen winst en draaien rustig door. Winst is alleen maar fijn voor aandeelhouders.

batjes @kutsjoerd • 20 januari 2019 11:04

Non profit organisaties kunnen ook gewoon winst maken. Het is alleen beperkter en niet het doel. Maar wel de bedoeling. Ook non-profit organisaties hebben te maken met onvoorziene uitgaven en investeringen.

LordMike @kutsjoerd • 20 januari 2019 21:00

Jazeker, je kan niet -lang- overleven als non-profit organisatie als je meer onkosten maakt dan er binnenkomt.

Er zal altijd een surplus moeten voorzien worden op het einde van het jaar, het mag niet als 'winst' uitgekeerd worden maar het blijft technisch gezien wel winst.

Als dit niet zo het geval is ben je zo na een aantal jaar weg.µ

Ofterwel: zonder winst kan geen enkel bedrijf overleven voor lange termijn..

En dan kom ik tot de conclusie dat je hele post eigenlijk niet van toepassing is en zelf geen antwoord of vervolg is van de oorspronkelijke mening.

Het is namelijk een organisatie en geen bedrijf..

kidde @Verwijderd • 21 januari 2019 09:55

Geld boetes helpen natuurlijk niets bij miljardairs, vooral niet als het niet van hun eigen geld is. Goldman Sachs, Morgan Stanley en ING maar ook Google lachen zich kapot. Hebben ze geleerd? Natuurlijk niet, GS heeft pas nog Maleisië opgelicht. Sorry zeggen boete betalen en door.

Je moet er af en toe een in de cel gooien, dan pas veranderen ze hun gedrag.

In tegenstelling tot onze slappe moraal in Nederland en de VS hebben ze in IJsland al hun bankiers in de cel gegooid (aan de andere kant van het land als de hoofdstad, dus waar bezoek moeilijk is), dan verandert er iets.

Ben je gelijk van al het zinloze geneuzel over boete en verliesgevende bedrijven af.

kimborntobewild @Verwijderd • 21 januari 2019 08:41

[...]

Zo'n land wat die boete oplegt moet zijn grondwet veranderen waardoor dezelfde overtreding een andere straf kan hebben naar gelang de dader rijk is. Geweldig idee, in sommige landen ook al werkelijkheid. Maar al die landen lopen dat tegen een muur als de dader geen inkomsten heeft.

In jouw denkbeeld zou een startup die 500 miljoen in de min staat en hetzelfde doet een boete krijgen van minus een miljard? Of 1 dollar? Zeg het maar, leg maar uit hoe je een systeem maakt waarin bedrijven die geen winst maken ook aangepakt kunnen worden. 10 dollar? 100 dollar? Of wil je een hoge boete betaald door de aandeelhouders, moet je zien hoe snel bedrijven dan vluchten.

Je commentaar krijgt veel plusjes, maar hebben de mensen die je die plusjes gaven wel door wat de problemen zijn. Populaire reacties doen het goed op Tweakers de laatste jaren maar of de discussie daarmee vooruit gaat? In mijn ogen absoluut niet.

Als je Facebook een boete geeft van een miljard dollar (onmogelijk maar laten we een voorbeeld maken) omdat ze veel winst maken. Wat doe je dan met een bedrijf dat geen winst maakt en hetzelfde doet.

Zeer eenvoudige vraag. Geen jurist die het antwoord weet, jij wel albatross?

Bedrijf failliet verklaren, en de verantwoordelijken opsluiten.

JTielens @Verwijderd • 21 januari 2019 14:01

Lang verhaal om een simpel punt te illustreren, maar wat dacht je van een vaste boete met daarbovenop een variabel bedrag dat schaalt op basis van de gemiddelde winst in de afgelopen jaren?

Znorkus @albatross • 19 januari 2019 13:38

Die 22,5 mln was voor Google in 2012. Deze gaat veel hoger worden.

kodak

Privacy
Boete

@Znorkus • 19 januari 2019 14:21

De Washington Post schrijft dat het de verwachting is dat de boete hoger gaat worden. Maar of dat zo is en hoe hoog de boete zal zijn is volkomen onduidelijk. Voorstanders zouden hebben verzocht om van een straf voor Facebook een voorbeeld te maken. Maar of dat er van komt en hoe een boete in verhouding staat tot bijvoorbeeld de omzet of winst van Facebook is dus niet duidelijk. Zelfs de mogelijkheid tot een schikking lijkt er nog te zijn. Het is allemaal erg speculatief.

renevanh @kodak • 19 januari 2019 14:49

Als je er een voorbeeld van maakt stapt FB naar de rechter met precies dat als argument: een voorbeeld maken is ongelijke behandeling en dat is ook tegen de Amerikaanse grondwet. Dat winnen ze dan nog ook.

Hoe een organisatie als FTC hun boetes vaststelt weet ik niet, maar daar zijn ongetwijfeld modellen en richtlijnen voor.

[Reactie gewijzigd door renevanh op 22 juli 2024 23:22]

WillySis

Privacy

@renevanh • 19 januari 2019 15:51

Een rechter kan wel aangeven dat de schending uitermate zwaar is en dat een zwaardere straf gerechtvaardigd zou zijn, maar dat hij rekening houd met eerdere uitspraken en daardoor de boete naar beneden bijstelt.

albatross @Znorkus • 19 januari 2019 13:44

Hoe weet je dat? "Die boete was echter een fractie van de winst die Google in een jaar maakte en datzelfde gaat mogelijk gelden voor deze boete voor Facebook." Vooralsnog ziet het er dus naar uit dat de hoogte van de boete (relatief) vergelijkbaar zal wezen.

ajolla @albatross • 19 januari 2019 12:33

Ja, dat is een bedrag waar de aandeelhouders wel wakker van worden.

AndromedaM31 @albatross • 19 januari 2019 14:41

En wat moet je betalen als je een illegaal mp3 bestandje download?

robvanwijk

Facebook
Politiek en recht
Privacy

@albatross • 19 januari 2019 16:24

22,5 miljoen dollar is geen boete

Jawel..., maar het is de boete voor het downloaden van een paar liedjes. Als zelfs de EU miljardenboetes oplegt en boetes in de VS absurd veel hoger zijn dan hier, dan zou "recordboete" mijns inziens moeten betekenen dat ze voor het eerst over de 10 miljard heen gaan (oftewel: ruwweg de helft van de jaarlijkse winst, voor iets wat al vele jaren voortduurt). Maar nee hoor, ze komen met een symbolische boete die FB niet eens aan gaat vechten, omdat een protest meer geld kost aan advocaten dan de "boete" gewoon te betalen.

Dunky555 @albatross • 19 januari 2019 18:20

Precies dit. Mijn inziens is het pas een boete wanneer ze de extra winst/omzet die ze met die illegale praktijken hebben verdiend moeten inleveren en daarop nog een boete als straf. En dan het liefst een flink percentage van de jaaromzet of winst.Dan gaan ze er pas op achteruit en is het een straf. Dan denken bedrijven wel na om nog eens zoiets te gaan doen. Doen ze het nog een keer dan de boete gewoon maal twee!

bbr @albatross • 19 januari 2019 22:17

Slechts 20mil of 4% van de jaar "omzet" volgens de huidige AVG,.
dus hopelijk kan de FTC hogere boetes dan dat uitgeven.

Sandertr @albatross • 19 januari 2019 23:17

m'ja omdat er geld te rapen is staan ze als eerste in de rij moest facebook om maar te zeggen bijna geen winst maken zouden ze er niet eens naar omzien ;)-
Nuja ik kan fout zijn maar ik dacht dat het meestal ging om een bug en niet dat ze het doelbewust deden.

Ik bedoel maar zullen we eens inspectie doen van hun diensten en onze eigen overheid die data lijkt me nog veel gevoeliger dan een vriendenlijst of andere die je toch al rondzaait aan je vrienden of publiekelijk weergeeft.

bakkerken @albatross • 20 januari 2019 15:07

De boetes zouden beter in een percentage van omzet of winst uitgedrukt worden. Met een minimumbedrag natuurlijk zodat er geen misbruik kan zijn. Facebook lacht dit gewoon weg...

KopjeThee @albatross • 20 januari 2019 18:34

Wat een aanfluiting.

Inderdaad. Dit stelt inderdaad niets voor. FTC is blijkbaar een echte tandeloze tijger. Ik denk dat ze zich een ongeluk lachen bij Facebook. En ik denk dat medewerkers van FTC zich de oren van de kop schamen. Hef die club dan gewoon op.

WillySis

Privacy

@albatross • 19 januari 2019 15:57

De online privacy is in Amerika nog slecht geregeld, maar het is mooi dat men FaceBook nu toch met wat gammele wetten aanpakt. Het beste zou men dat doen door vooral te letten op de accounts van kinderen tot 13 jaar. Daar gelden wel best strenge wetten en hoge straffen voor.
Eigenlijk moeten de Amerikanen zich gaan beseffen dat ze achterlopen en een klein aantal bedrijven heel veel macht hebben gegeven met hun persoonlijke data. De wetten over het verzamelen, gebruiken en verkopen van privé gegevens voldoen al lang niet meer. Eigenlijk is het hoog tijd dat men ook daar een versie van de AVG in gaat stellen.

WillySis

Privacy

@andreetje • 20 januari 2019 13:51

Amerika loopt achter met de wetgeving omtrent de privacy online. Voor (papieren) archieven is de wetgeving juist best streng.

Dat een aantal grote bedrijven In Amerika zit wil nog niet zeggen dat we in Europa achter lopen. Nederland en Duitsland blazen een behoorlijk partijtje mee. Het zijn dan net iets andere sectoren, maar bedrijven als Philips, Shell, ASML, Unilever enz. zijn toch wereldspelers op hun terrein.

andreetje @WillySis • 20 januari 2019 21:16

Die bedrijven zijn qua omzet onvergelijkbaar met de techgiganten in de VS.

Frubelaar @albatross • 19 januari 2019 16:50

Zeer juist. Misschien was FB nog terughoudend ivm met angst voor een boete. Nu men weet dat een boete nihil is kan men helemaal los.

Vergelijk het met verkeersovertredingen. De boetes zijn vaak zeer fors. Mensen denken wel twee keer na voor je met 300 door een woonwijk jakkeren (alleen boeven doen dat).
Als de boete/straf zeer laag zou zijn, dat zou de weg een racebaan worden.

FB ontvangt binnenkort een racebaan certificaat...

Verwijderd 19 januari 2019 12:11

"recordboete" en Facebook ... dan denk ik aan miljarden. Maar nee, iets in de miljoenen. Dat voelt Facebook niet eens. De titel voelt haast aan als clickbait.

Kijk, dít is een boete: "EU legt Google nieuwe recordboete op voor machtsmisbruik: 4,34 miljard"

vali @Verwijderd • 19 januari 2019 12:13

De boete kunnen ze misschien niet voelen, maar de negatieve gevolgen ervan wel. Ik zie steeds meer om mij heen dat mensen bewust worden met hun prive data en de privacyschending van Facebook heeft hier zeker bij geholpen.

Nieuwevolger @vali • 19 januari 2019 12:26

Ze worden misschien er wel bewust van. Maar mensen denken ook altijd makkelijk.
Mensen: bedrijven als facebook en google zijn slecht omdat ze data verzamelen en weer verkopen.

Ook mensen: google voor alles en nog wat gebruiken, Facebook gebruiken omdat iedereen dat doet.

Ze klagen erover als ze het uitkomen, maar maken er net zo goed ook gebruik van als ze het uitkomt.

albatross @Nieuwevolger • 19 januari 2019 14:38

"Mensen: bedrijven als facebook en google zijn slecht omdat ze data verzamelen en weer verkopen."

Dat is ook zo.

Neem ons fysieke wegennet. Dat is aangelegd door de overheid, zodat we ons kunnen vervoeren. Ook staan er overal cameras langs de weg tegenwoording. En toch zouden we het helemaal niet vanzelfsprekend vinden indien de overheid ons rijgedrag zou filmen/bijhouden, om te kijken waar we zoal naar toe gaan, om die data vervolgens te verkopen aan bedrijven.

En dat is nou precies wat Facebook wel doet. Het was bedoeld als 'social media' site, zodat mensen dingen met elkaar konden delen. Maar Facebook heeft dat vertrouwen op de Internet highway misbruikt -- al vanaf het begin -- om schaamteloos winst te slaan uit onze privegebeurtenissen.

En nee, kom nou niet aan zetten dat we dat zelf gewild hebben. Het was eerder zo, dat toen er eenmaal een algemeen bewustzijn ontstaan was, waarbij duidelijk werd wat Facebook al die tijd had gedaan, dat ze al een miljarden-bedrijf waren (en dus zo goed als onaantastbaar geworden).

Wat mij betreft zou er eigenlijk een algeheel verbod moeten komen op het delen van prive-data van gebruikers van Facebook en aanverwante sites. Maar dat 'ship has sailed', ben ik bang.

Nieuwevolger @albatross • 19 januari 2019 14:57

Ben het zeker met je eens dat strakke regels vanuit de overheid hierover helemaal geen kwaad kan. Maar als consument/burger heb je wel zeker in de hand of je nou wel of niet gebruik wilt maken van Facebook. In dat opzicht lijken veel gebruikers het niet eens te zijn met Facebook z'n praktijken, maar Facebook de rug toe keren doen ze ook weer niet. In dat opzicht vind ik wel degelijk dat je als Facebook gebruiker anno 2019 er wel om vraagt.

albatross @Nieuwevolger • 19 januari 2019 15:03

Dat ben ik zeker met je eens. Al denk ik, dat anno 2019, er inmiddels toch wel veel mensen wakker zijn geworden, en Facebook achter zich (willen) laten liggen. Het was al minder populair dan voorheen, vanwege andere diensten die er nu zijn. Maar goed, zo maar uit je sociale netwerk stappen, dat wil natuurlijk niemand. Iemand moet de eerste zijn, natuurlijk, maar liever nooit jezelf als eerste.

Nieuwevolger @albatross • 19 januari 2019 15:07

Zelf denk ik dat elk social media platform na verloop van tijd wel omvalt. Kijk naar my space in Amerika en hyves in Nederland en later Twitter. Ik heb nu z'n 5 jaar Facebook, op het begin van was het leuk maar op een gegeven moment ben je er gewoon op uitgekeken. Kans zit er dan dik ik in dat er massaal wordt overgestapt op andere social media.

invic @albatross • 20 januari 2019 00:41

Leuk zo'n commentaar maar jij bent geen ondernemer en hoeft niet een platform te onderhouden en te financieren welke miljarden berichten foto's films etc moet kunnen opslaan en real time beschikbaar moet zijn 24 uur per dag. Dus zolang wij niet willen betalen voor zulke diensten heb je makkelijk praten over privacy en dat gegevens niet mogen worden verkocht. Idem met alle Google producten en zogenaamde gratis producten of diensten.!

noway @invic • 20 januari 2019 07:14

hou toch op...wtf niet willen betalen? wie zegt dat?

ze maken jouw en de rest eerst lekker en dan stelen ze de prive gegevens op legale manier.

Waarom denk je dat zij { FB } groot zijn geworden?

SpiceWorm @Nieuwevolger • 19 januari 2019 14:24

Fijner is dus dat we er wel gebruik van kunnen maken, zonder al deze privacy schandalen. Als het dan ook nog eens strafbaar is voor de wet, heb je de tools in handen om er wat aan te doen en een wereld / maatschappij te bouwen die beter past bij de menselijke behoeftes (fb gebruiken).

batjes @Nieuwevolger • 19 januari 2019 21:43

Toch zie ik om me heen steeds meer mensen die facebook wegdoen of degraderen tot dood basis account zodat ze vindbaar zijn.

En de cijfers liegen er ook niet om. 1miljoen (ofzo?) Nederlanders die het opgezegt hebben.

Fidesnl @vali • 19 januari 2019 14:10

Dat zie ik om mij heen ook, alleen bij jongeren helaas. Ouderen (50+) maakt het niet zoveel uit. Echter de jongeren die ik ken gaan vervolgens naar Instagram, wat ook weer onderdeel is van Facebook.
De gedachte is goed, de uitvoering wat minder.

robvanwijk

Facebook
Politiek en recht
Privacy

@vali • 19 januari 2019 16:26

Ik zie steeds meer om mij heen dat mensen bewust worden met hun prive data en de privacyschending van Facebook heeft hier zeker bij geholpen.

Maar komt dat door de rechtszaak en de boete en alles eromheen? Of komt dat door alle negatieve publiciteit rondom het Cambridge Analytica-schandaal zelf...?

Frubelaar @vali • 19 januari 2019 16:52

De enige echte boete is een aanpak zoals ooit bij MS.
Verbieden om IE als standaard browser in te stellen. Verbieden dingen te bundelen.

Er moet dus een keihard verbod komen op bepaalde activiteiten van FB

Verwijderd @vali • 19 januari 2019 13:04

Deze week nog twee niet technische gebruikers van WA naar Telegram overgebracht met als eenvoudige uitleg dat WA eigendom is van Facebook. Antwoord er op was: ja maar ja, wat dan gebruiken? Telegram of Signal. Telegram, wa is da?

Even later: zeg, als ik de desktop client gebruik dan kan ik de vorige berichten van onze secret chat niet lezen, dat komt doordat die encryptie sleutel op het toestel blijft he?

Mensen zijn zo dom niet atlijd. Ze begrijpen het wel. En ze willen features zoals de mogelijkheid om secret chats te hebben wel degelijk.

Ze willen ook zeker zijn dat de chat secret is, m.a.w. dat Telegram of Signal zelf het bericht niet kunnen lezen (m.a.w. dat de private key op het toestel blijft, en niet naar de servers gaat).

Gewone gebruikers willen het ook weten. Je moet het hen gewoon rustig uitleggen. De techniek van de twee open dozen met sleuteltjes werkt vrij goed om private/public key exchange uit te leggen.

WhatsappHack

Politiek en recht
Facebook
Privacy
Boete

@Verwijderd • 19 januari 2019 15:26

Laat de volgende keer je antwoord enkel Signal zijn. Of Signal met als mogelijk alternatief Wire, Threema of Riot. Maar never nooit mensen die veiligheid en privacy zoeken naar Telegram sturen, dan zijn ze zelfs duizend keer beter af door gewoon op WhatsApp te blijven en kunnen ze als bonus nog gewoon iedereen bereiken ook. Privacy- en veiligheidsbewuste mensen naar Telegram verwijzen is enkel leuk als troll, maar verder een bijzonder slecht advies. Nog erger dan FB Messenger installeren.

Signal heeft ook een erg goed functionerende desktopclient tegenwoordig overigens, dus aan gebruiksgemak hoeft men niets in te leveren!

Verwijderd @WhatsappHack • 19 januari 2019 15:36

Heb je ook een geargumenteerde reden waarom je Telegram daar niet goed voor vindt? Zo ver ik weet zijn er geen noemenswaardige problemen met Telegram wat betreft privacy.

jeroen7s @Verwijderd • 20 januari 2019 16:37

ten eerste is telegram niet eens e2e encrypted by default
e2e is enkel beschikbaar op mobiel, enkel 1 on 1 conversatiesm en geen multidevice support
dat alleen alzet het achter de meeste messengers (behalve messenger dan)
(signal, wire, line, threema wickr en ja zelfs whatsapp hebben allemaal e2e encryptie by default)
daarbuiten laat telegram duidelijk merken dat cloud save/features en integratie prioriteit hebben over het verbeteren van de e2e encryptie, jaren geleden hadden ze gezegd te kijken om dit naar de desktop te brengen, echter is hier nog 0 vooruitgang geboekt
dan heb ik het nog niet over de kritiek die de meeste security experts en cryptografen hebben op het e2e protocol wat telegram in-house heeft gemaakt
telegram promoot zichzelf echter wel als een secure en private messenger, echter is dit voornamelijk snake-oil, en veel mensen, zelfs IT-ers blijken voor hun marketting te vallen

[Reactie gewijzigd door jeroen7s op 22 juli 2024 23:22]

Verwijderd @jeroen7s • 20 januari 2019 20:06

Ik ga je iets proberen te leren. En probeer het alsjeblieft te onthouden. EN graag dat @WhatsappHack dat ook dan doet. Want ik ga jullie anders de komende jaren precies hetzelfde over encryptie moeten blijven uitleggen. Dat is heel erg vervelend. Nochtans doen wij, wij die er echt iets van kennen, enorm ons best om jullie dit bij te brengen.

Zowel jij als @WhatsappHack spuien namelijk misinformatie over encrypted chats met multi-device support.

Dat kan je namelijk niet juist doen zonder dat er iets moet gebeuren. En dat wat WhatsApp en dergelijke doen, dat is een hele grote security fout: de private key op de server zetten. Dat is extreem fout en helemaal niet goed. Dit is waarom het daar moeiteloos (moeiteloos, NIET feilloos) werkt om beveiligde chats op meerdere toestellen te kunnen gebruiken.

Telegram doet dit net wel juist. De private key blijft immers op het toestel staan. Daarom kan je die beveiligde chats niet op een ander toestel raadplegen. Zonder die private key kan je namelijk niet decrypteren. Het is de essentie van encryptie dat de private key dient om te decrypteren en private is. Het is het belangrijkste van (dit soort) encryptie. Dat is waar encryptie om draait (en dat de public key dient om de encrypteren). Het is de moeder en de God van de encryptie. Iets belangrijker als dat bestaat niet.

En die private key is dus PRIVATE. Zoals het woord het zegt. Dat wil zeggen dat niemand anders dan jij die mag hebben. Dat wil zeggen OOK NIET de server van Whatsapp. De private key mag daar NIET op staan. NOOIT. Dat is NIET goed bij encryptie. Dat IS EEN security fout. Dat doet ALLES van de encryptie ongedaan tussen u en hen want nu kunnen je berichten OOK ontcijferen. Daarmee zijn je chatsessies NIET meer beveilgd t.o.v. Whatsapp en haar personeel. En dus ook niet meer t.o.v. zij waarmee Whatsapp en haar personeel je private keys deelt.

Dat is bij Telegram NIET zo. Dat zie je doordat wanneer je een beveiligde chat in Telegram op een ander toestel wil openen, dit dan niet gaat. Je moet dan een andere, nieuwe, beveiligde chat openen.

Je kan WEL prima met Telegram op verschillende toestellen tegelijk werken. Je kan zelfs beveiligde chats op één toestel hebben en andere beveiligde chats met dezelfde of andere personen op een ander toestel hebben. Ik heb bij Telegram ook al features gezien om de private key van beveiligde chats over te brengen van één toestel naar een ander toestel. Zodat je dat ander toestel WEL kan beginnen gebruiken om die beveiligde chats op het ander toestel verder te kunnen zetten. Zo'n feature is ook niet moeilijk te ontwikkelen (bv. met een QR code, of een MicroSD kaart. Ik geloof dat Telegram het mogelijk maakt met QR code en de front camera van het andere toestel).

Dat op web.telegram.com of zo er geen beveiligde chats zijn heeft er vermoedelijk mee te maken dat Telegram de browser niet wil vertrouwen. Daar hebben ze ALLE reden toe. Browsers zijn HEEL ERG onveilige softwares met HEEL ERG VEEL bugs. Veel mensen gebruiken veel verschillende versies en varianten van veel verschillende browsers die allemaal HEEL VEEL bugs hebben. Het is GEEN GOED IDEE om je browser je beveiligde chats toe te vertrouwen. Want de browser moet aan die private key aankunnen in Javascript (dat is héél héél erg dom). Geen enkele beveiligingsexpert die zijn geld waard is zal je vertellen dat je dat moet doen. Dat is een DWAAS en DOM en SLECHT idee.

Het feit dat Telegram e2e niet by default op zet heeft vermoedelijk te maken met het gebruiksgemak van het gros van de gebruikers die dus wel web.telegram.com en meerdere toestellen en zo verder willen kunnen gebruiken zonder dat ze zich zorgen hoeven te maken dat chats plots stoppen met werken tussen verschillende toestellen. De meeste mensen willen babbelen over zoentjes, kindjes, lachjes en fotootjes. Daar hoeft geen e2e encryptie over te liggen (niemand wil weten wat jij tegen je vrouw en kinderen te vertellen hebt).

Maar de kracht-gebruiker die zal natuurlijk wel gewoonweg altijd een beveiligde chat opzetten. En die begrijp dat als hij de history van het gesprek wil hebben op een ander toestel, hij de private key zal moeten overbrengen.

M.a.w. e2e by default opzetten en dan de private key naar de Whatsapp server kopieeren is een idioot en dwaas idee van Whatsapp. De kracht-gebruiker vind dat helemaal niet goed. De gewone gebruiker interesseert het niet.

Ik denk dat wire, threema, wickr en misschien Signal dat wel juister doen. Maar dan zullen zij ook features moeten aanbieden om de private key van één toestel naar een ander toestel over te brengen.

Net zoals hoe het bij Telegram werkt dus.

Dus voortaan wanneer je me om de oren smijt met e2e en je bazelt maar wat, doe je huiswerk. Ik ben al meer dan 20 jaar als (open source) programmeur met deze zaken bezig. Telegram is niet perfect. Maar. Hun principe van de private key op het toestel te laten is HELEMAAL JUIST. Het principe van Whatsapp om dat naar de server te kopieeren is HELEMAAL FOUT.

Zoek dit op. Studeer dit. Praat met experts in encryptie. Leer jezelf iets. En praat niet andere mensen na zonder te weten waar je het over hebt.

En dat geldt ook voor @WhatsappHack

Wat wel "fout" is van Telegram is dat het niet open source is. Dat is bij Wire, Threema, Signal en zo verder wel het geval. Whatsapp is ook niet open source. Dus Whatsapp doet a) open source niet en b) zet de private key op de server. Dat maakt Whatsapp voor mij whatever. Want fundamenteel op alle vlakken verkeerd. Plus is Whatsapp eigendom van Facebook. Er bestaat niets erger dan Whatsapp dus.

ps. En vooral, wanneer je met iemand als ik praat: laat dan je ideologie (voor bv. Whatsapp) maar thuis. Daarmee doe je je argumenten geen goed.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:22]

WhatsappHack

Politiek en recht
Facebook
Privacy
Boete

@Verwijderd • 20 januari 2019 23:25

Laat ik voorop stellen dat dit wel heel erg ver off-topic gaat. Ik zelf had slechts een kleine notitie gemaakt in reactie op je post, maar goed... Here goes;

Ik ga je iets proberen te leren. En probeer het alsjeblieft te onthouden. EN graag dat @WhatsappHack dat ook dan doet. Want ik ga jullie anders de komende jaren precies hetzelfde over encryptie moeten blijven uitleggen. Dat is heel erg vervelend. Nochtans doen wij, wij die er echt iets van kennen, enorm ons best om jullie dit bij te brengen.

Haha, grapjas.

Of je zit nu echt enorm te trollen (ik vermoed van wel, het voelt heel erg bewust aan.) of je hebt de situatie in je hoofd compleet omgedraaid - maar daar geloof ik niet zoveel van... Ik denk dat je het expres doet. Je hoeft mij iig niets uit te leggen en ik leer liever van mensen die verstand hebben van waar ze over praten...

En laat ik het voorzichtig stellen: van deze post van je heb ik dus niets geleerd over encryptie noch over de werking van WhatsApp en Signal Protocol.

Ik zou voorstellen dat je eerst even dit document doorneemt voordat je verder leest:
https://www.whatsapp.com/...p-Security-Whitepaper.pdf
Dat vult je ontbrekende kennis m.b.t. het functioneren van WhatsApp en het sleutelgebruik aldaar op namelijk en is essentiële basiskennis als je hierover mee wilt praten.

Hoewel ik vermoed dat het pure trolling/flamebait is, zal ik alsnog voor geïnteresseerde mensen er tot in redelijk detail op reageren.

We zijn hier immers om elkaar werkelijk iets te leren.

Zowel jij als @WhatsappHack spuien namelijk misinformatie over encrypted chats met multi-device support

Ik heb het met geen woord gehad over multi-device support...?

Dat kan je namelijk niet juist doen zonder dat er iets moet gebeuren. En dat wat WhatsApp en dergelijke doen, dat is een hele grote security fout: de private key op de server zetten. Dat is extreem fout en helemaal niet goed.

WhatsApp zet geen private key op de server.
De private key staat uitsluitend op je toestel. Wie heeft je deze onzin wijsgemaakt?

Zie het hierboven gelinkte document.

Dit is waarom het daar moeiteloos (moeiteloos, NIET feilloos) werkt om beveiligde chats op meerdere toestellen te kunnen gebruiken.

WhatsApp werkt op slechts één toestel. Het is niet mogelijk om dit op meerdere toestellen te activeren. Registreer je op een ander toestel, dan stopt de vorige onmiddellijk met werken, wordt uitgelogd en eist her-activatie. Je contacten krijgen een key-update notificatie en krijgen, mits ze dit ingesteld hebben, dan ook een waarschuwing te zien dat je onmiddellijk de sleutels dient te controleren met elkaar. (Het liefst out-of-band natuurlijk, net als bij Signal.)

Ben je in de war met WhatsApp Web/Desktop? Dit werkt door je computer een end-to-end encrypted socket met je mobiel op te laten zetten (exchange initiate via QR-code). Je mobiel verzend/ontvangt berichten en handelt de encryptie af en je computer kan over de E2EE-verbinding met je mobiel deze gegevens vervolgens op je scherm of in de browser tonen. De server kan dus niet meelezen en de privésleutel komt niet op je computer te staan, die verlaat *nooit* je telefoon... Dat is overigens ook de reden dat je voor Web/Desktop verplicht je telefoon aan moet hebben staan. Schakel deze uit en er is niets te doen, want je telefoon kan niets relayen. Bij Signal kan je het tegenwoordig overigens blijkbaar wél semi-los van elkaar laten functioneren (dat werkte eerst exact hetzelfde als WhatsApp), ik heb nog niet gekeken hoe ze dat precies voor elkaar gekregen hebben; maar Moxie kennende heb ik hoge verwachtingen van hoe hij het geflikt heeft.

Dat, of je bent in de war met de Public Key... Dat is iets anders dan een Private Key, het is niet een en hetzelfde ding... Daar heb je het in je post al over, maar voor de zekerheid toch even de uitleg in m’n eigen post zodat er geen verwarring kan ontstaan: Bij een keypair heb je een publieke en een privésleutel:
- Je publieke sleutel is, zoals de naam al suggereert, publiek. Iedereen mag die in principe hebben zonder dat er een probleem zou ontstaan.
- Je privésleutel is, ook hier zoals de naam al aangeeft, privé. Niemand behalve jij mag die hebben.
Nu werkt het **in de basis** als volgt: als jij een bericht naar mij wil sturen, dan versleutel jij dit bericht met mijn publieke sleutel. Met mijn privésleutel kan ik deze versleuteling ongedaan maken (ontsleutelen) en het bericht lezen. Niemand anders kan dit normaal gesproken (als het een beetje goede encryptie is, zoals Signal Protocol) doen zolang ze jouw privésleutel niet hebben.
(Noot: dit is de basisschool uitleg. Signal Protocol gaat veel verder dan een simpele public-/privatekey, maar zie daarvoor de Signal website en het hierboven gelinkte document dat uitlegt hoe Signal Protocol in WhatsApp functioneert; dat ga ik je niet onderwijzen nu.)

WhatsApp slaat een aantal van jouw PUBLIC-key's (waarmee een initialisatie kan worden gedaan) op op hun server. (Min of meer, voor de exacte werking van de sleutels (zie vooral het stukje over "pre-keys")) verwijs ik je nogmaals naar het technische document aan het begin van mijn post.) Dus niet de privésleutel gaat naar de WhatsApp server, een stel publieke sleutels (die iedereen dus in principe zou mogen hebben) gaat naar de server van WhatsApp. Waarom? Zodat een key-exchange mogelijk is zelfs als 2 apparaten asynchroon van elkaar online zijn. WhatsApp heeft dus een kleine poel aan sleutels voor jou, een beetje zoals bijvoorbeeld de sleutel pools van PGP werken. Je tikt iemands e-mailadres in en je krijgt zijn/haar publieke sleutel. Hetzelfde met WhatsApp, je tikt een mobiel nummer in en je krijgt een publieke sleutel van dat nummer. (En ik zeg "een" sleutel, omdat voor elk gesprek een andere sleutel wordt gebruikt door WhatsApp. Dat houdt het wel zo veilig.

)

Dus of je lijkt niet helemaal te snappen hoe Web/Desktop werkt. Of je weet het verschil niet tussen een public/private-key. Of je hebt compleet verkeerd begrepen welke van de twee naar WhatsApp vertrekt.

Ergo: dit werkt prima en goed. Je privésleutel verlaat nooit je toestel en hoeft dat ook om geen enkele reden. (Tenzij je dit zelf doet of er wordt ingebroken op je toestel wellicht (eg: rooten/jailbroken Android/iPhone en je haalt een ranzige rootkit binnen.))

De opmerking dat WhatsApp je privésleutel op hun servers zou zetten is dus een fabeltje en berust op een grof verkeerde interpretatie van de werking van Signal Protocol..

Telegram doet dit net wel juist. De private key blijft immers op het toestel staan. Daarom kan je die beveiligde chats niet op een ander toestel raadplegen. Zonder die private key kan je namelijk niet decrypteren. Het is de essentie van encryptie dat de private key dient om te decrypteren en private is. Het is het belangrijkste van (dit soort) encryptie. Dat is waar encryptie om draait (en dat de public key dient om de encrypteren). Het is de moeder en de God van de encryptie. Iets belangrijker als dat bestaat niet

Telegram heeft standaard totaal geen end-to-end encryptie en bewaart de sleutel tot je data op hun servers.
In de "secret chat" modus werkt het wel zoals je omschrijft (tot op zekere hoogte, MTProto heeft teveel problemen om betrouwbaar te zijn.).

WhatsApp daarentegen heeft geen enkele optie om encryptie uit te schakelen. Het is altijd encrypted, met een private key die nooit je toestel verlaat. Daarom werkt WhatsApp op slechts één toestel, maar Telegram op zoveel apparaten als je wilt - m.u.v. secret chats. (Wat overigens via een enorm brak protocol (MTProto) wordt afgehandeld.)

En die private key is dus PRIVATE. Zoals het woord het zegt. Dat wil zeggen dat niemand anders dan jij die mag hebben. Dat wil zeggen OOK NIET de server van Whatsapp. De private key mag daar NIET op staan. NOOIT. Dat is NIET goed bij encryptie. Dat IS EEN security fout. Dat doet ALLES van de encryptie ongedaan tussen u en hen want nu kunnen je berichten OOK ontcijferen. Daarmee zijn je chatsessies NIET meer beveilgd t.o.v. Whatsapp en haar personeel. En dus ook niet meer t.o.v. zij waarmee Whatsapp en haar personeel je private keys deelt.

No sh*t Sherlock

Daarom staan die sleutels dus ook niet op de WhatsApp server maar uitsluitend op je toestel...

Iets eerder in deze reactie is dat verder toegelicht.

Maar als je dat opslaan van data + sleutels een security fout vindt trouwens, waarom ben je dan zo blij met Telegram? o0 Telegram dat de sleutel om al je data mee te decrypten opslaat op hun servers naast de encrypted data? (Nee ik heb het nu niet over secret chats.) Vergeet niet: Telegram slaat by default al je gesprekken, bijlagen, complete adresboek, et cetera op op hun servers. Plain-text toegankelijk... Ook als je enkel van secret chats gebruik zou maken staat er nog steeds een boatload aan data op die servers, ze verzamelen notabene evenveel data van je als Facebook Messenger... WhatsApp verzamelt een stuk minder. Signal verzamelt al helemaal bijna niets. Zowel WhatsApp als Signal slaan, in tegenstelling tot Telegram, overigens geen berichten noch media permanent op op hun servers. (Max. 30 dagen en beiden verwijderen het direct zodra het is afgeleverd; alleen media heeft een bepaalde overlevingstijd bij beiden (encrypted blob-store, maar dat leg ik je een andere keer eventueel wel uit.).) Standaard slaat Telegram alles van je op in hun cloud. Permanent tot je zelf aangeeft het te willen verwijderen. o0

Telegram doet dus in de default modus wat jij nu heel duidelijk bestempeld als een security probleem. (Ben ik het volkomen mee eens dat het een security probleem is overigens, dat is precies waarom ik begon over waarom ik Telegram als onveilig acht... Dan doe je net alsof je het niet eens bent, beschrijf je de werking van Telegram en zeg je opeens eigenlijk in andere worden dat je het wél met me eens bent dat Telegram dus niet zulke veilige software is. Raar verhaal dit...) Het is dus een complete mindf* voor me dat je dan toch nog kan beweren dat het veiliger werkt. o0

Laat ik je een wedervraag stellen:
Telegram met secret-chats ingeschakeld is al een stuk beter dan default Telegram. Maar dan ben je ook de gebruiksvriendelijkheid van Telegram kwijt en ben je zelfs nog gelimiteerder dan WhatsApp en Signal. Dan heb je dus met Telegram het volgende:
1.) Encryptie gaat via een zwak protocol: MTProto
2.) Geen mogelijkheid om de berichten elders te lezen, op wat voor manier dan ook.
3.) By default dus helemaal geen encryptie

Terwijl bij Signal en WhatsApp:
1.) Encryptie gaat via een bewezen uitermate sterk protocol: Signal Protocol. (Voorheen AXOLOTL)
2.) Dankzij een beveiligde socket naar je mobiel kan je zowel bij Signal als WhatsApp berichten lezen via Web/Desktop, zonder dat je sleutels je toestel hoeven te verlaten. (Bij WhatsApp moet je mobiel wel aanstaan, die handelt het 100% af)
3.) Beiden zijn *uitsluitend* met end-to-end encryption te gebruiken, er is geen onveilige modus zoals de standaard van Telegram. Zelfs al je media (bijlagen) zijn versleuteld! (Bij Telegram niet in default modus.)

... Dat wetende, waarom zou je dan in godsnaam alsnog voor Telegram kiezen?
Voor de secret chats hoef je er niet te zijn, dan kan je beter Signal pakken. En als het om de gebruiksvriendelijkheid gaat, dan zijn al je veiligheidsopmerkingen niet van toepassing.
Dus ik ben benieuwd wat je overweging precies is.

Als we ze alle drie even pakken: Signal, WhatsApp, Telegram. Dan zijn in "secret modus" (E2E-encrypted) Signal en WhatsApp dus veel gebruiksvriendelijker dan Telegram, terwijl ze nog sterker beveiligd zijn ook.

Dat is ergens best grappig, omdat normaal gesproken sterkere beveiliging juist gebruiksvriendelijkheid onderuit haalt.

Afijn.

De meeste mensen willen babbelen over zoentjes, kindjes, lachjes en fotootjes. Daar hoeft geen e2e encryptie over te liggen (niemand wil weten wat jij tegen je vrouw en kinderen te vertellen hebt).

Daar zijn we het dan niet over eens.
Dat jij het prima vindt dat een bedrijf (Telegram) zomaar met je mee kan lezen: prima, dat moet jij weten. Ik wil dat niemand meeleest. Vandaar Signal of WhatsApp en dus geen Telegram.

Telegram by default is onbeveiligd en de E2EE-functie van MTProto is dusdanig slecht dat ik het voor geen meter vertrouw.

... herhaling van wat gedoe en verder irrelevante opmerkingen ...

Geen verder commentaar, onnodig.

Ik denk dat wire, threema, wickr en misschien Signal dat wel juister doen.

WhatsApp gebruikt Signal Protocol en werkt nagenoeg hetzelfde als Signal.

Sterker nog, Moxie Marlinspike (de oprichter en een van de schrijvers van Signal...) zelf heeft het in WhatsApp ingebouwd. Waarom denk je dat ie zulke goede vrienden is met de oprichters van WhatsApp? Brian Acton heeft intussen 50 miljoen aan Signal gedoneerd zodat ze nog jaren vooruit kunnen zonder ook maar enig financieel probleem:
https://www.wired.com/sto...ion-whatsapp-brian-acton/

Er zijn slechts twee wezenlijke verschillen vanuit encryptie en privacy oogpunt:
1.) her-encryptie van niet afgeleverde berichten (WhatsApp doet dat automatisch mits het bericht niet ouder is dan 30 dagen én nog niet afgeleverd was, Signal vraagt eerst om toestemming van de verzender. Waarom dat zo is, dat legt Moxie je graag uit: https://signal.org/blog/there-is-no-whatsapp-backdoor/
2.) Metadata (WhatsApp bewaart metadata (datum + tijd dat berichten uitgewisseld zijn en met wie). Signal zegt dit niet te doen.)

Met andere woorden, je zit nu de hele tijd WhatsApp's encryptie af te zeiken, maar in werkelijkheid zit je dus eigenlijk Signal af te zeiken...

WhatsApp is (de vorige versie van) Signal in een ander jasje met wat toeters, bellen en iets andere keuzes zodat ze 1.5 miljard+ mensen blij kunnen houden. (Zie link naar Moxie's blog hierboven.)

Dus voortaan wanneer je me om de oren smijt met e2e en je bazelt maar wat, doe je huiswerk. Ik ben al meer dan 20 jaar als (open source) programmeur met deze zaken bezig. Telegram is niet perfect. Maar. Hun principe van de private key op het toestel te laten is HELEMAAL JUIST. Het principe van Whatsapp om dat naar de server te kopieeren is HELEMAAL FOUT.

Ik denk dat je beter zelf even wat huiswerk kan gaan doen.

Misschien dat je dan over nog eens 20 jaar wel mee kan praten over dit onderwerp.

(Ja heel flauw, maar je hebt zoveel dedain in je post geplaatst dat ik een sneer niet kon laten.

) Het geeft niets als je er niet heel veel van snapt of de werking compleet verkeerd hebt begrepen, maar ik vind het raar dat je dan net doet van wel... Met die "ik ga je eventjes iets leren" onzin. Als je iemand iets wilt leren: zorg dan eerst dat je zélf iets hebt geleerd over het onderwerp of controleer of je kennis wel klopt vóórdat je zo'n grote mond op zet.

Afijn. Het zal wel. Ik heb gereageerd voordat iemand denkt dat je nog gelijk hebt ook met die onzin over de privésleutels, maar ik blijf erbij dat ik vermoed dat je dit geheel bewust hebt gedaan en dondersgoed weet dat het zo niet werkt bij Signal en WhatsApp. Maar ik zal toegeven dat ik het wel een geslaagde grap vind.

Zo hoog van de toren blazen ("Nochtans doen wij, wij die er echt iets van kennen, enorm ons best om jullie dit bij te brengen." - haha, hoe kom je er op

$_/-\o_$ ) en er in werkelijkheid niets van lijken te weten, dat is best grappig.

Either way, de enige die hier nu misinformatie aan het spuien was, dat was jij dus... Dat heb ik bij dezen even rechtgezet en daarmee is het wat mij betreft afgehandeld.

Lees ook zeker even de gelinkte artikelen.

Ik hoop dat ik je bij dezen meerdere lessen heb kunnen leren.

Geen dank!
Oh enne... Mocht het oprecht een vergissing zijn en geen troll: dan mijn excuses voor de snarkyness, maar ik denk dat je dan wel in hindsight kunt toegeven dat je die wel verdient hebt door de manier waarop je je post hebt geschreven.

Oh, P.S.

ps. En vooral, wanneer je met iemand als ik praat: laat dan je ideologie (voor bv. Whatsapp) maar thuis. Daarmee doe je je argumenten geen goed.

Voor zover ik al kan spreken van het hebben van een ideologie, zou dat Signal zelf zijn. Niet WhatsApp... WhatsApp staat wel als duidelijk alternatief (2e keuze), maar wordt wel het meest gebruikt daar het het enige platform is dat en hele sterke encryptie heeft én waarop iedereen te bereiken is. Signal heeft nog maar weinig adoptie al komen er daar steeds meer op.

Telegram heeft ook erg weinig adoptie, maar daarvan interesseert het me vrij weinig omdat ik het zelf dus niet gebruik en ook nooit werkelijk zal gaan gebruiken.

(Ik heb een testinstallatie om af en toe mee te spelen, that's it.)

Ik raad dus voor de hoogst mogelijke veiligheid Signal aan, maar ik snap dat je veel mensen wilt kunnen bereiken: dan is WhatsApp een prima beveiligde tweede keuze. Telegram komt bij mij echter niet eens in de top 10 voor en raad ik ten zeerste af voor een ieder die toch enige beveiliging en privacy wil zonder moeite te hoeven doen of perse aan te moeten geven dat een gesprek veilig moet zijn.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 23:22]

Verwijderd @WhatsappHack • 21 januari 2019 15:55

Kijk, die hele uitleg over Whatsapp kan waar zijn. Maar dat ontneemt Telegram's principe het niet dat het de juiste manier hanteert (dus ook de private key op het toestel laten).

Het enige wat je dan nog kan zeggen is dat je de encryptietechniek van Telegram niet vertrouwt. Dat op zich is prima. Maar ik heb ook nog geen bewijs gezien van dat de encryptietechniek van Telegram fundamenteel slecht is en/of dat er fouten in gevonden zijn.

Iedere encryptie is maar betrouwbaar tot er iemand een zwakheid in vindt. Dat geldt zo voor die van Telegram als dat het geldt voor die van Whatsapp of Signal. Dat die van Signal algemeen gebruikt wordt wil daarbij helemaal niets zeggen. Morgen misschien vinden ze een zwakheid in dat super populaire van Signal en dan heb je het vlaggen. Net zo goed vinden ze morgen een zwakheid in die van Telegram, en dan heeft Telegram het vlaggen. En omgekeerd. En dubbel omgekeerd ook. En driedubbel omgekeerd ook zelfs.

Er zijn wel bepaalde (wiskundige) principes die cryptografen hanteren in hun technieken. Sure. Maar ik heb nog niet gehoord van fundamentele problemen in de encryptietechniek van Telegram. Net zo goed zijn er geen fundamentele problemen in de encryptietechniek van Signal. Dat jij blaat en geen vertrouwen hebt in die van Telegram en wel in die van Signal is louter jouw probleem. Tenzij je een goed wiskundig argument hebt daarvoor. In dat geval wil de hele wereld van cryptografen dat argument van je weten en zou je nu best wel een bekendheid in het wereldje der cryptografen zijn.

Wie ben je dan juist en wat is je WISKUNDIGE argument? Ik vind je zo terug in de mailing lists. Misschien moeten we dan ook eens IRL afspreken want ik ben best benieuwd naar je bevindingen. Misschien moet je jezelf ook eens in de KU Leuven in België laten uitnodigen. Dat is de universiteit waar men Rijndael (AES) heeft bedacht. Daar zijn best veel van s'werelds top cryptografen. Die zijn heel erg benieuwd naar je bevindingen. Je gaat in de grote aula in Leuven meteen spreektijd krijgen. De hele zaal zal vol zitten. Alle belangrijke grootheden uit de cryptografie zullen aanwezig zijn.

Maar als het is wat ik denk dat het is, dat je maar wat blaat en napraat, laat het alsjeblieft dan. Ik heb echt véél belangrijkere dingen te doen dan naar een naprater te luisteren.

Indien het zo is dat Whatsapp de private key niet naar de server kopieert, dan is dat prima van hen (en van Signal). Dat doet Telegram ook niet. En daarmee zit Telegram programmeertechnisch relatief goed in elkaar.

Dat Telegram geen encryptie doet voor gewone chats valt volledig onder de verwachtingen daar Telegram dat ook niet belooft of daar iets over zegt. Dat blijkt Signal (en dus Whatsapp) dus wel te doen. Dat is dan ook prima dat ze dat wel doen.

Dat Telegram analyse doet op die gewone chats valt ook onder wat Telegram zegt wat ze doen.

Daar mag jij voor of tegen zijn. Prima. Maar dat zegt verder niets over de encryptie en het gebruik van de private key bij hun beveiligde chats.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:22]

WhatsappHack

Politiek en recht
Facebook
Privacy
Boete

@Verwijderd • 26 januari 2019 03:13

Ik herinnerde me vanwege de andere thread dat we hier iets hadden lopen. Excuus voor de late reactie.

Kijk, die hele uitleg over Whatsapp kan waar zijn. Maar dat ontneemt Telegram's principe het niet dat het de juiste manier hanteert (dus ook de private key op het toestel laten).

Heb ook niet gezegd dat ze dát gedeelte fout doen.

Het enige wat je dan nog kan zeggen is dat je de encryptietechniek van Telegram niet vertrouwt. Dat op zich is prima. Maar ik heb ook nog geen bewijs gezien van dat de encryptietechniek van Telegram fundamenteel slecht is en/of dat er fouten in gevonden zijn.

Daar kan ik je wel bij helpen, hier wat willekeurige artikelen die kwetsbaarheden en problemen met MTProto hebben blootgelegd danwel bespreken:
https://www.theregister.c...w_crypto_in_telegram_app/
https://cs.au.dk/~jakjak/master-thesis.pdf
https://web.archive.org/w...-your-telegram-chats.html (Origineel geeft CF error, dus dan maar zo.)
https://www.theatlantic.c...-security-problem/422460/
https://courses.csail.mit.edu/6.857/2017/project/19.pdf (Deze is toegegeven een beetje meh.)
https://web.archive.org/w...-of-the-telegram-contest/
http://www.cryptofails.co...ams-cryptanalysis-contest (Deze is vooral even grappig en luchtig voor de afwisseling, doch aan het einde serieuze notes.)
In het verlengde van die laatste, bonus luchtig en sarcastisch artikel van Moxie Marlinspike: https://hackerfall.com/st...the-telegram-developers-1

Er is een hele waslijst, ik heb er random een paar gekozen uit m'n lijst. De een boeiender dan de ander en ja ik weet datrveaear IND-CCA gaat.

Dat het daar echter op meerdere punten niet aan voldeed is iets dat de alarmbellen wel flink laat afgaan.

Iedere encryptie is maar betrouwbaar tot er iemand een zwakheid in vindt. Dat geldt zo voor die van Telegram als dat het geldt voor die van Whatsapp of Signal. Dat die van Signal algemeen gebruikt wordt wil daarbij helemaal niets zeggen. Morgen misschien vinden ze een zwakheid in dat super populaire van Signal en dan heb je het vlaggen. Net zo goed vinden ze morgen een zwakheid in die van Telegram, en dan heeft Telegram het vlaggen. En omgekeerd. En dubbel omgekeerd ook. En driedubbel omgekeerd ook zelfs.

Sure. Feit is wel dat Signal Protocol (Double Ratchet/AXOLOTL vooral) meerdere malen door verschillende experts is ge-audit en er geen problemen naar boven kwamen. Het wordt unaniem door experts aangeprezen als ontiegelijk veilig. Telegram is door meerdere experts ge-audit en die hebben ten eerste allemaal hun ogen uitgestoken vanwege wat ze te verduren kregen om te lezen en ten tweede unaniem tot de conclusie komen dat het allemaal nogal brak in elkaar zit en ook veel vooroorlogse technieken gebruikt plus, zoals bewezen, niet voldoet aan de standaarden van deze tijd.

Het wordt ook steeds goedkoper om een aanval te lanceren.

Natuurlijk kan het dus zijn dat er ergens in Signal ook een lek blijkt te zitten (al zal dat eerder door de implementatie komen dan het protocol zelf.). In Telegram *zijn* er echter al meerdere keren lekken gevonden, zowel theoretisch als werkelijk toepasbaar. De ene keer zijn ze wel gefixt, de andere keer niet. Het is sowieso ook al een keer fout gegaan, een of andere Rus had dat gevonden... Was het kwijt, maar geloof dat dit het artikel is. Die is uiteindelijk wel opgelost. Dat maakte al helemaal pijnlijk duidelijk dat ze niet zo goed weten wat ze aan het doen zijn en ze echt beter bewezen veilige spullen kunnen gebruiken in plaats van zelf dat gedrocht in elkaar te flansen.

En zelfs als ik aardig wil zijn voor Telegram terwijl je bij security-zaken dat niet teveel moet doen kom ik in de problemen... Toen ik meerdere beveiligingslekken ontdekte in WhatsApp (vandaar de nick.) in hun "early days", waren ze heel open en vriendelijk. Meteen meewerken. Patch zat binnen ~6 tot 24 uur (afhankelijk van platform.) nadat we begonnen te praten in de iOS, Android en Symbian (OVI) stores. Men erkende de fouten, bood excuses aan en hebben onmiddelijk patches gemaakt. Zo hoort het.
Okee, dan Telegram. Early days, dus er kan nog wel iets mis zijn - logisch, logisch en meerdere mensen, myself included, boden informatie aan. Maar hun houding...? Men ontkent meestal of reageert gewoon helemaal niet, houdt totaal niet van kritiek, maken af en toe echt bizarre statements om het een en ander recht te praten, luisteren blijkbaar pas als iemand de boel echt kraakt - aan theoretische problemen die ze wel zouden kunnen oplossen doen ze ook simpelweg niets. (Wat een big no-no is in IT-sec natuurlijk. Een theoretische aanval houdt meestal in dat er een lek zit waar men nog op zoek is naar een manier om het te exploiten (zoals SHA-1, heeft een paar jaar geduurd voordat het werd omgezet in een echte werkende aanval: maar men wist al dat het lek was, dus ging men over op andere hashfuncties.), die moet dus gewoon opgelost worden en dat *kunnen* ze in principe ook.) En dan vind jij het gek dat ik geen enkel vertrouwen meer heb in die clowns en doe je net alsof dat een soort loos op niets gebaseerd onderbuik gevoel is?

Hou toch op.

-edit- Ah, dat met die Rus trouwens. Dat doet me denken aan een redelijk hilarische saga 'back in the day'. Een discussie ontstaat tussen Moxie Marlinspike, Thomas Ptacek, Pavel Durov en wat omstanders die eigenlijk vrij weinig te melden hebben: https://news.ycombinator.com/item?id=6913456
... a few moments later ... https://news.ycombinator.com/item?id=6948742

Als je eerst dat ene artikel leest waar de onkunde, weigering om iets aan te passen en te luisteren naar het advies en eigenlijk wat arrogantie vanaf spat; dan kan je je wel voorstellen dat aardig wat mensen een binnenpretje hadden bij dat tweede artikel. (Wel kudos dat na even aarzelen Durov die Rus wel een ton heeft uitgekeerd omdat ie "een soort van" op de goede weg zat naar die rigged contest van ze.)

Dat jij blaat en geen vertrouwen hebt in die van Telegram en wel in die van Signal is louter jouw probleem.

Ten eerste blaat ik niet, maar presenteer ik enkel wat feiten. Zoals reeds aangegeven doe ik mijn research wel naar behoren. Ik heb geen vertrouwen in Telegram ómdat het niet betrouwbaar is. Dat is niet "mijn probleem", want ik gebruik Telegram om dezelfde redenen niet. Het is het probleem van een ieder die het wel gebruikt en serieus denkt dat het veilig is.

Ik bedoel, je hoeft het natuurlijk niet van mij aan te nemen. Ik had gehoopt intussen wel gedemonstreerd te hebben dat ik niet zomaar iets roep en inhoudelijke kennis heb van alle drie de besproken applicaties, getuige mijn correcties op jouw argumenten en beweringen in je vorige reactie. Iets dat je nu eigenlijk ontkend. Dat is jammer en de vraag is dan ook of we überhaupt iets gaan bereiken hier, maar in het andere topic heb je min of meer gemeld dat ik gelijk had betreffende WhatsApp... In deze post echter blijf je volhouden dat ik "blaat", terwijl je zelf nu al voor de tweede keer dingen roept zonder dat je kennelijk onderzoek hebt gedaan. Je had niets gelezen over hoe WhatsApp functioneert en je hebt duidelijk ook niet gezocht of er informatie beschikbaar was over bezwaren en kwetsbaarheden in MTProto... Toch maak je het verwijt dat ik *ik* zou blaten. Dat is echt raar.

Echter, gezien je het niet van mij wilt aannemen ondanks dat je me tot dusver op geen enkele leugen hebt kunnen betrappen en mijn informatie tot dusver prima klopt: hier een selectie willekeurige quotes/artikelen van de wat bekendere namen in het crypto/ITsec-wereldje, misschien dat je daar meer vertrouwen in hebt.
Matthew Green:

And oh boy, does Telegram encryption suck. Seriously people, don't use that except on a dare. (Ref)

The UX is nice. The crypto is like being stabbed in the eye with a fork. (Ref)

Like seriously. Wtf is even going on here?

En ten slotte nog een quote die een beetje mijn gedachten echoed over waarom Telegram niet te vertrouwen is dat ik hierboven aan je heb uitgelegd:

“It’s like coming up and finding a submarine where the doors are made out of Saran Wrap. I guess if you use enough Saran Wrap you could build a pretty secure submarine; it doesn’t mean that it’s going to sink. But it does mean it’s not something I would want to trust with my life."

Steve Gibson:

"Telegram" Instant Messaging: Avoid At All Costs. A link for today's podcast: Link. (Ref)

Link naar de genoemde podcast als bonus: Klik

Thaddeus Grugq:

In summary, Telegram is error prone, has wonky homebrew encryption, leaks voluminous metadata, steals the address book, and is now known as a terrorist hangout. I couldn’t possibly think of a worse combination for a safe messenger.

Moxie Marlinspike: Zie alle links en artikelen waar Moxie aan mee heeft gedaan of heeft geschreven hierboven. Hetzelfde geldt voor Thomas Ptacek.

Afijn, ook van hun hoef je het allemaal niet aan te nemen natuurlijk.

Ze zijn slechts doorgewinterd in hun vak. Professoren, experts... Verder niets bijzonders.

Bottom-line is: waar geen enkele security expert Signal afkraakt, kraken ze universeel Telegram af.
Als je denkt dat ze dat voor de lol doen, dan geef ik het echt op. Dan kan niemand je overtuigen dat er problemen zijn bij Telegram's MTProto en *wil* je het ook gewoon niet horen. Mag je van mij blijven volhouden dat ik aan het blaten ben, maar van binnen zal je denk ik wel weten dat ik eigenlijk gewoon gelijk heb en mijn wantrouwen voor Telegram verre van irrationeel is en ik mijn bezwaren prima kan onderbouwen.

Ik doe m'n eigen bevindingen, ik lees die van anderen; maar ik praat niemand zomaar na. Natuurlijk heb ik wel bevindingen van anderen meegenomen in mijn overwegingen en aangepaste meningen, dat is ook nogal logisch als een ander iets heeft gevonden en uiteraard hecht ik zeker ook waarde aan de woorden van mensen zoals zij die ik hierboven gelinkt heb. Dat bevestigd mijn gevoel en idee van toen ik er naar keek. Dat is geen nablaten. Afijn...

Indien het zo is dat Whatsapp de private key niet naar de server kopieert, dan is dat prima van hen (en van Signal). Dat doet Telegram ook niet. En daarmee zit Telegram programmeertechnisch relatief goed in elkaar.

Als enkel de sleutel niet naar de server kopiëren direct bewijs is dat het technisch goed in elkaar zit, dan verlang je niet bijster veel van je encryptie...

Dat Telegram analyse doet op die gewone chats valt ook onder wat Telegram zegt wat ze doen.

Oh dat is een nieuwtje voor mij, ik wist niet dat ze actief aan het analyseren waren...

Als je het niet erg vindt laat ik het hier ff bij want het is alweer een heel opstel.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 23:22]

jeroen7s @Verwijderd • 25 januari 2019 16:22

Nochtans doen wij, wij die er echt iets van kennen, enorm ons best om jullie dit bij te brengen.

zogenaamd Expert in security

een hele grote security fout: de private key op de server zetten.

claimt dat whatsapp de private key op de server zet

ga geen tijd verspillen aan de rest, je hebt duidelijk geen flauw idee waar je het over hebt

[Reactie gewijzigd door jeroen7s op 22 juli 2024 23:22]

Verwijderd @jeroen7s • 25 januari 2019 19:33

Ik ken er iets van als programmeur. M.a.w. heb ik al meerdere systemen geïmplementeerd die encryptie doen.

Ik was bijvoorbeeld de hoofd ontwikkelaar en architect van de E-mail client van Nokia's N900. Uiteraard gebruikt een E-mail client encryptie. Je kan de E-mail client, Modest, opzoeken en nakijken op beveiligingsfouten wat dat betreft. Ik werkte die jaren (zo'n zeven jaar) voor Nokia aan enkele van hun vlagschip producten zoals de N900 en de N9. Je kan met de informatie van mijn info hier op Tweakers me opzoeken en verifieeren wat ik zeg.

Je kan bv. ook hier een referentie naar mijn persoon vinden in de IMAP RFC op de website van het IETF. Die Philip, dat ben ik. Dat was een suggestie van mij nadat ik het jaar voordien (2007) in Duitsland uitgenodigd werd door de groep die het IMAP protocol uitwerkt voor het IETF. Je kan dit navragen aan A. Melnikov en Dave Cridland. Zij werken voor Isode. Dat is een bedrijf dat voor het Amerikaanse leger IMAP servers ontwikkelt. Die dienen er voor om Amerikaanse soldaten van E-mail te voorzien op afgelegen locaties. De IMAP verbeteringen waaraan wij werkten in die jaren waren de zogenaamde LEMONADE uitbreidingen voor IMAP. Zij poogden de latency overhead van het protocol te verminderen. Door de STATUS en LIST van mailbox(folders) te combineren konden we het aantal roundtrips halveren. Dit zorgt voor minder latency overhead bij het opbrengen van een connectie met een IMAP server.

Ik ben benieuwd naar jouw referenties.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:22]

jeroen7s @Verwijderd • 26 januari 2019 10:44

het heeft niks met referenties te maken, je claims zijn gewoon baseless

Thanks to Philip Van Hoof who pointed out that STATUS and LIST
commands should be combined in order to optimize traffic and number
of round trips.

dit maakt je zeker een expert in E2E encryptie, also fucking email lol
is dat nu echt de referentie die je gaat aanbrengen om je arrogante

"Nochtans doen wij, wij die er echt iets van kennen, enorm ons best om jullie dit bij te brengen."

te substantieren?
die verbeteringen aan IMAP hebben niets met e2e encryptie te maken, en zijn dus compleet irelevant

je claim dat whatsapp de private keys op de server hebben, waarrond je post ging, is gewoon op geen waarheid gebaseerd, het signal protocol dat whatsapp gebruikt is wereldwijd geacht als de gouden standaard in e2e encryptie.
telegram's end2end encryptie (als je de kritiek van cryptografen over de veiligheid ervan expliciet wilt negeren) is gewoon zeer gelimiteerd in scope, maar cloud features en online opslag van je persoonlijke berichten word zwaar gepromoot. minstens 90% van alle verkeer op telegram is gewoon compleet unencrypted. en dit maakt telegram by default onveilig

[Reactie gewijzigd door jeroen7s op 22 juli 2024 23:22]

WhatsappHack

Politiek en recht
Facebook
Privacy
Boete

@Verwijderd • 20 januari 2019 22:50

Sure thing. Of je het een probleem vindt is overigens aan jezelf. Sommige mensen vinden het ook prima om bijvoorbeeld Facebook Messenger te gebruiken (in non-secret default modus) en zien dat niet als "probleem". Hetzelfde hier, Telegram verzamelt nog meer dan Facebook Messenger. Maar of je dat een "probleem" vindt: dat moet je lekker voor jezelf beslissen. Ik vind het een enorm groot probleem en vind het bizar dat het zo'n triest ingerichte opzet heeft terwijl het gemarket wordt als veilige messenger.

1.) In de defaultmodus verzamelt Telegram weerzinwekkend veel data van je. Je complete adresboek (incl. namen, adressen, verjaardagen, you name it), al je berichten en gesprekken, al je bijlagen (foto's, video's, documenten, etc.), et cetera, et cetera: dit slaan ze allemaal op in hun cloud. Telegram heeft plain-text toegang tot deze data, omdat ze de sleutel bewaren op hun servers. Leuk voor gebruiksgemak, maar op veiligheid en privacygebied is het niet zo prettig. De marketing van Telegram heeft echter veel mensen laten denken dat het *altijd* heel veilig en encrypted is, daar komt ook die waanzin vandaan dat Telegram "de veilige keuze is". Hoe dan? Ze hebben by default geeneens nuttige encryptie en harken nog meer binnen dan Facebook Messenger; nee dat klinkt echt als een slim plan.

2.) Terugkomend op die marketing; dat is een langlopend probleem. MTProto is niets meer dan roll-your-own snakeoil. Belachelijk verhaal erbij. Wat ik eigenlijk nog het gekste vind is dat met de protocollen die ze geschreven hebben, ze het voor elkaar zouden kunnen krijgen om die data zoals hierboven omschreven op dusdanige wijze te encrypten dat zij er in principe ook niet bij kunnen (zonder in te leveren op gebruiksgemak, met maar één caveat: je bent de lul als je je wachtzin vergeet.). Dat doen ze bewust niet...

Dat is al best raar voor een messenger die in eerste instantie beweerde "het veiligste ooit" te zijn en de gloria ingehyped werd door iedereen behalve de complete infosec community.

Op een gegeven moment zijn zelfs mensen als Matthew Green, Edward Snowden, Moxie Marlinspike, Steve Gibson, etc. zich ermee gaan bemoeien en commentaar gaan leveren omdat het zo'n enorm brak systeem was... Dat deden ze niet voor niets zullen we maar kort zeggen.

3.) Het end-to-end encryptie deel van MTProto is zwak. Zoals gezegd is het slecht in elkaar gedraaide roll-your-own snakeoil. Hier zijn al zo vaak fouten in gevonden en zoveel zwaktes dat het bizar is dat de gebroeders Durov nog steeds met een strak gezicht durven te zeggen dat het allemaal wel meevalt en sterker nog: dat ze sommige problemen niet eens willen oplossen. Je berichten versleutelen via MTProto is dan ook simpel gezegd een risico: je weet niet zeker of het wel correct werkt.

4.) Telegram zegt niets met die enorme zeeën aan data van je te doen. Echter, ze weigeren ook compleet om transparant te zijn. Sterker nog, Durov is zo ver gegaan dat hij een complete witwas constructie op heeft gezet via Belize, de Britste Maagdeneilanden en Panama. Niemand kan zien hoe het geld stroomt, wie er geld insteekt, wie er betaald en ook niet wie er betaald wordt. De holdings in de Verenigde Staten (yup...) en het Verenigd Koninkrijk (yup...) zijn de shells die daar weer eigenaar van zijn en daar is Durov dan weer eigenaar van. Zo hoeft ie aan niemand verantwoording af te leggen voor z'n financiële stromen. Waarom zou je zo enorm ver gaan om te verhullen waar je precies mee bezig bent...? Gecombineerd met de vele malen dat meneer Durov betrapt is op leugens (en niet alleen met betrekking tot Telegram) plus dat hij in het verleden ook miljarden heeft verdiend aan het verkopen van gebruikersdata bij VKontakte, vertrouw ik de man evenmin als Mark Zuckerberg en zou ik er dus niet klakkeloos vanuit gaan dat mijn data echt wel veilig staat bij dhr. Durov. Durov, die overigens gewoon al jaren weer in Moskou werkt. Whatever happened to the exile, hm?

Dat zijn de eerste 4 punten in leken taal uitgelegd.
Ik zag dat je hieronder ook nog een heel opstel hebt geschreven, dus ik hou het hier nu even bij voor deze post en reageer zo op die ander waar je me hebt gementioned, gezien dat nogal facepalm materiaal lijkt te zijn.

kimborntobewild @vali • 21 januari 2019 08:43

De boete kunnen ze misschien niet voelen, maar de negatieve gevolgen ervan wel. Ik zie steeds meer om mij heen dat mensen bewust worden met hun prive data en de privacyschending van Facebook heeft hier zeker bij geholpen.

Ik zie daar absoluut niks van, om mij heen.

Zoijar @Verwijderd • 19 januari 2019 13:37

Als de aandelen een paar procent dalen op het nieuws voelen ze het wel hoor

WhatsappHack

Politiek en recht
Facebook
Privacy
Boete

@Verwijderd • 19 januari 2019 15:10

Ik verwacht eigenlijk ook dat de boete in de miljarden kan lopen, want dat is wat de FTC destijds min of meer heeft gezegd bij het maken van de deal... Dus waar die paar miljoen ipv miljarden opeens vandaan komt is mij een raadsel, tenzij de FTC vindt dat het meevalt en/of niet geheel aan Facebook te wijten is.

Niemand_Anders @Verwijderd • 21 januari 2019 16:45

Je moet maar eens kijken wat voor boetes wat het AP of de AFM uitdeelt. Dat zijn organisaties vergelijkbaar met FTC.. Die zijn ook niet zo hoog. De boetes vanuit de EU komen niet vanuit een waakhond.

De FTC is een civiele organisatie zodat deze onafhankelijk (minimale beinvloeding) van de overheid kan functioneren. De FTC ontleed zijn kracht vanuit de wetten geschreven door Congress (wetgevende tak), maar krijgt zijn geld zijn de president (uitvoerende tak). Dit systeem kennen wij in Nederland (helaas) niet. In Nederland doet het kabinet zowel de wetten schrijven en is via de ministeries ook verantwoordelijk voor de uitvoering..

Andere Amerikaanse civiele organisaties welke vanuit Congress hun bestaansrecht ontleden zijn onder andere de SEC (Amerikaanse AFM) en FCC (Amerikaanse Opta). Deze commissies moeten overigens wel verantwoording afleggen aan Congress (meestal alleen Huis van Afgevaardigden omdat deze het dichts bij de burger staat)..

ro8in 19 januari 2019 12:13

Deze bedrijven zijn zo ontzettend slecht voor onze wereld economie. Geld wordt massaal erheen gepompt en verdwijnt in een hele kleine fuik van ultra rijke mensen die 0 tot bijna geen belasting betalen. Het zijn letterlijk de real world gold sinks. Toegegeven we hebben altijd dit soort giants in de wereld gehad, maar op deze schaal als facebook, google en amazon etc nog niet eerder. Je ziet dan onze overheden totaal niet ingesteld zijn op dit soort reuzen. De boetes die worden uitgedeeld zijn een lachertje, maar wettelijk kunnen ze niet hoger. Miljarden en miljarden aan belasting inkomsten worden misgelopen, maar de belastingwetten lopen jaren achter op deze bedrijven.

De snelheid waarmee deze bedrijven onze economie de grond in boren is soms wel beangstigend.

Znorkus @ro8in • 19 januari 2019 13:34

Welkom in de corporatocratie - de samenleving die geregeerd wordt door bedrijven.

Wall-E (buy n large) is niet zo ver weg. Het is voor een enorm groot deel al waar.

Verwijderd @Znorkus • 19 januari 2019 15:04

Ironisch gezien valt Wall-E ook onder één van deze bedrijven.

Je zou zelfs Buy N Large kunnen vervangen door "Disney" en je ziet waar Pixar op speelde

Verwijderd @Znorkus • 19 januari 2019 14:53

Try red, it's the new blue...

Past inderdaad wel een beetje bij al dat gehype met dingen.

smallblock @ro8in • 19 januari 2019 12:37

De geschiedenis herhaalt zich inderdaad. Vroeger was het de adel die de grote graaiers waren. Nu de superrijke elite. Men heeft dat toen (tijdelijk) aangepakt met een revolutie...

minimarcos 19 januari 2019 12:36

Een boete op basis van de winst zal helpen (NOT), ze doen al het mogelijke om winst weg te sluizen... Een zware boete op basis van omzet zal veel meer helpen lijkt me...

dj.verhulst @minimarcos • 19 januari 2019 12:48

of het vast zetten van de verantwoordelijken ,, zet maar 6 maanden in zo'n gezellige gevangenis in de VS , dat komt meer aan dan een tegenvallende aandeelhouders vergadering ...

SpiceWorm @dj.verhulst • 19 januari 2019 14:26

Idd, strafrechtelijk vervolgen als ze de wet overtreden vind ik niet raar.

Unsocial Pixel @minimarcos • 19 januari 2019 15:01

Daarom ook de omzet en niet de winst

Frubelaar @Unsocial Pixel • 19 januari 2019 16:46

Correct. Maar door al dat geschuif lijkt de omzet ook anders.
En hoeveel Apples of welke bedrijf dan ook ga je die 4% boete opleggen?
Apple Nederland, Apple Belgie, Apple Frankrijk, Apple..., Apple distributions, Apple repair, Apple webshop, Apple music, etc.

Die grote bedrijven zijn altijd opgesplitst in delen.

CAPSLOCK2000

Privacy
Boete
Politiek en recht
Facebook

19 januari 2019 13:00

Ze zullen dat record wel heel heftig moeten breken voordat Facebook onder de indruk is. Ik denk dat je toch minstens een miljard moet eisen voordat daar iemand wakker wordt. Met de huidige Amerikaanse regering geloof ik ook niet dat de FTC veel rugdekking van de regering gaat krijgen. Als Facebook een beetje tegenstribbelt kunnen ze die boete nog lang uitstellen.

Belangrijker dan de hoogte van de boete is echter de pakkans, net als bij zo'n beetje alle andere vormen van misdaad. Daders denken vooraf niet na over de hoogte van de straf, alleen de kans dát ze gepakt wordt speelt een rol. De meeste misdadigers doen alleen iets als ze denken dat ze toch niet gepakt worden.

Het is beter om zo veel mogelijk misdaden zo snel mogelijk een lage straf te geven, dan af en toe en veel later een hele zware straf op te leggen.

In dit specifieke geval denk ik dat de meeste verantwoordelijken al lang een andere baan hebben en niks merken van die boete.

Znorkus @CAPSLOCK2000 • 19 januari 2019 14:19

Dat is inderdaad een beetje het probleem. Bedrijven zijn rechtspersonen geworden maar het rechtssysteem ging uit van enig verantwoordelijkheidsbesef cq menselijkheid bij de rechtspersonen. Laat dat nou net ontbreken bij grote bedrijven.

kaaijer 19 januari 2019 13:25

Boetes in absolute bedragen zeggen niks.
De AVG heeft het beter voor elkaar en kan volgens het nieuwe beleid boetes opleggen tot 4% van de jaaromzet, of ze het doen is een tweede.

Frubelaar @kaaijer • 19 januari 2019 16:42

Of ze dat kunnen is een andere vraag.
Neem Apple die veelvuldig in het nieuws geweest is met duistere belasting deals.
Apple is superrijk, dat erkent iedereen. Ook Apple.
Als je Apple gaat aanpakken en 4% rekenen, zal het vanwege die constructies lijken alsof Apple bar weinig omzet. 4% van bijna niets dus.

Duke-it 19 januari 2019 12:22

Het boetesysteem werkt vreemd, al juich ik toe dat de hoogte wel fiks toeneemt bij grote bedrijven / hoge omzet/winst. In Finland hebben ze een systeem wat de hoogte van boetes afhankelijk maakt van je inkomen.
In dit soort situaties is het inderdaad een 'boze blik' naar Facebook, wel een smet op hun blazoen. Welk bedrag maakt dan niet eens meer uit.
Je kunt denk ik ook geen hoog bedrag eisen. Okay, gegevens zijn ergens illegaal terechtgekomen. Je burgers zijn mogelijk beïnvloed. Buiten Facebook gebeurd dit constant. En ook wij weten pas sinds kort wat voor een bedragen er worden geïnvesteerd in lobbyen. Elke partij met een belang in een markt wil een boodschap verkondigen die zijn doel zo goed mogelijk dient. Dit zal in veel gevallen het bewust weghouden van info zijn of het verder inkleuren van een gekleurde boodschap.

Waar Facebook en alle internationale dataverwerkers voor aansprakelijk moeten worden is het bewust gebruik van gegevens. Echter... als je één deur mag openen, maar alle deuren staan open.. dan is het verleidelijk daar ook een blik in te werpen. Er is geen eerlijke wereld waar mensen zichzelf in toom kunnen houden bij het verwerken van gevoelige gegevens. Vandaar de extreme aansprakelijkheid bij werknemers van veiligheidsdiensten, etc.
Dit soort bedrijven zijn moeilijk te straffen. Decentraliseren dan?

lighting_ 19 januari 2019 12:05

Dat is laag

mutley69 19 januari 2019 12:55

Het is zakgeld voor Facebook - een aanmoedigingspremie. En hoeveel mensen stappen weg van dat platform om over te gaan naar iets anders dat ook van facebook is - veel te veel zal ik antwoorden!
Uiteraard blokkeer ik facebook en alle aanverwanten op dns-niveau.

Cowamundo 19 januari 2019 14:03

87 miljoen keer de privacy geschonden voor straks... $43,5 miljoen boete ofzo? (nergens op gebaseerd).

Dan kun je toch even voor $0,50 pp iedereen z’n privacy aan je laars lappen.

Zelf een boeten van 500 miljoen is maar $5,75 pp.

Honytawk @Cowamundo • 20 januari 2019 12:44

Plus ook nog eens de hoop mensen die geen Facebook account hebben maar toch nog steeds getracked worden.
Dus het bedrag per persoon ligt nog eens zo veel lager.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (109)

Sorteer op:

Weergave: