'Twitter bewaart direct messages die door gebruikers zijn verwijderd'

Verwijderde direct messages die op Twitter worden uitgewisseld, blijven in werkelijkheid bestaan op de servers van Twitter, zo ontdekte een beveiligingsonderzoeker. Ook van verwijderde accounts blijven de gegevens bestaan.

De vondst is afkomstig van beveiligingsonderzoeker Karan Saini, die zijn bevindingen deelde met TechCrunch. Hij ontdekte dat zijn verwijderde privéberichten nog altijd te vinden waren op de servers van Twitter, iets dat aan het licht kwam toen hij de gegevens over zijn accounts opvroeg.

Uit een test door TechCrunch bleek vervolgens dat de verwijderde gegevens nog jarenlang worden opgeslagen op de servers van Twitter. Twitter zelf laat in zijn documentatie weten dat bij verwijderde accounts er slechts nog een korte periode is waarin de gegevens nog vindbaar zijn. In een reactie liet een woordvoerder van het sociale netwerk weten dat er naar het voorval wordt gekeken, maar een inhoudelijke reactie werd niet gegeven.

Gebruikers kunnen zelf zien welke data Twitter over hen heeft verzameld door de accountgegevens op te vragen. De gegevens kunnen in de instellingen worden opgevraagd.

IT-banen

Reacties (97)

roooii 16 februari 2019 09:40

Zouden andere techgiganten dit ook niet stiekem bewaren? Het is natuurlijk super interessant om dit te bewaren en hier later alsnog nieuwe algoritmes op los te laten.

Echter vind ik het wel zorgelijk. Je komt er lastig achter of iets nog wordt bewaard. Al helemaal wanneer het offline storage bedraagt.

Kees BOFH @roooii • 16 februari 2019 10:29

Ik denk niet eens dat het stiekum is. Het is eerder best practice.

Het is namelijk veel eenvoudiger om een 'delete flag' in de database op '1' te zetten dan om het hele bericht weg te gooien, dan kun je tenminste nog dingen restoren als iemand het perongeluk weggooit.

Bovendien kun je dan in het geval van een rechtshulpverzoek / vordering ook verwijderde berichten geven aan de politie, een oplichter die zijn eigen berichten verwijderd na de oplichting kun je dan nog steeds pakken.

Daarnaast zul je ook backups moeten hebben (dat moet ook van de AVG) en het is ondoenlijk om in die backups ook de berichten te verwijderen.

siteoptimo @Kees • 16 februari 2019 11:01

Backups moeten helemaal niet van de AVG.
Een best practice zou ik het ook niet noemen, want dit is data die eigenlijk niet bewaard hoeft te worden, behalve om overheden te faciliteren.

De AVG stelt heel duidelijk dat dataminimalisatie belangrijk is. Hou enkel bij wat nodig is ter uitoefening van de dienst. En verwijderde DM's vallen daar niet onder, vandaar de commotie.

Douweegbertje @siteoptimo • 16 februari 2019 12:08

Behalve dat een bericht ooit wel van daadwerkelijke significatie was, wat dus meegenomen wordt in een backup. Het argument van @RvdDungen dat een backup na een week niet meer wordt terug gezet is ook niet waar. Het is relatief logisch om een retentie van een langere periode te hebben met full & incremental backups waarbij je soms ook stukjes daarvan terug pakt.
Ik heb vaak genoeg orders terug moeten halen van ~3-4 weken terug voor een webshop. Uiteraard restore je de gehele database niet, maar pak je dat ene stukje data.

Nu ook de "grap" met deze vorm van backups; als ik 1 user moet verwijderen over de gehele "backup flow" dan heb ik eigenlijk geen retentie meer..

Het mag misschien officieel niet, maar als een user wordt verwijderd dan heeft het nog x-periode nodig om door de gehele retentie periode heen te gaan om echt 100% weg te zijn. Ik durf te wedden dat heel veel organisaties dat op die manier doen.

Dit heeft overigens niets te maken dat de privacy van iemand bewust niet wordt gehonoreerd maar domweg een technisch obstakel. Er zit domweg een vertraging in de verwerking. Overigens zijn dit zaken die expliciet in de verwerkersovereenkomst zijn besproken waarbij de retentie een niet overdreven periode is waarbij echt rekening wordt gehouden met "nut / baten". M.a.w. het wordt niet 3 jaar bewaard wat een extra risico met zich meeneemt.

Opperpanter2 @Douweegbertje • 16 februari 2019 16:01

En dan heb je ook nog gegevens die rondzweven in mailboxen

DiedX @siteoptimo • 16 februari 2019 16:25

Ongewenste datavernietiging mag óók niet van de AVG, dus backups zijn in die vorm onontbeerlijk.

siteoptimo @DiedX • 16 februari 2019 22:08

Dat klopt dus niet, het staat nergens in de AVG. OK dat het niet gewenst is, maar je zal nergens in de AVG vinden. Het doel van de AVG is de bescherming van privacy, niet dataverlies. Graag dus even een verwijzing naar het artikelnummer waar je dat meent gelezen te hebben.

DiedX @siteoptimo • 16 februari 2019 23:06

Even snel:

"(83) Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden."

http://www.privacy-regulation.eu/nl/r83.htm

Crispy78 @DiedX • 16 februari 2019 23:45

“In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.”

Er staat nergens dat je geen data mag vernietigen. Er staat dat je een afweging moet maken bij de risico’s van opslag van persoonsgegevens en dat je in deze afweging het opzettelijk of per ongeluk vernietigen van data, het verlies van data, het aanpassen van data, etc. etc. moet meenemen omdat dit tot psychische, materiële of immateriële schade kan leiden. Ofwel “Is het echt nodig om data op te slaan?”

DiedX @Crispy78 • 17 februari 2019 07:49

Één van die risico's is het verlies door bijvoorbeeld schijven die crashen of hackers die data vernietigen. Je moet er dus wél over nadenken en tegen maatregelen nemen.

Óf goed aan kunnen tonen dat je nagedacht hebt, maar dat de tegen maatregelen (bijv) te duur waren.

siteoptimo @DiedX • 17 februari 2019 09:04

Helaas, dit is een foute interpretatie. Het gaat over het beoordelen van de gegevensbeveiligingsrisico's en dat je rekening moet houden met het feit dat er backups zijn.

Gegevens die door gebruikers zelf verwijderd werden, moet je niet back-uppen.
Meer zelfs, er staat niet dat je letterlijk moet back-uppen.

DiedX @siteoptimo • 17 februari 2019 09:58

Laten we het er op houden dat de hele wet interpretatie is. Je zegt: "er staat niet dat je letterlijk moet back-uppen.". Klopt, maar zo gaan we er never nooit niet uit komen. Ook over de verwijderde gegevens is het nodige te zeggen, en de wet laat dat aan interpretatie over. Móet je al je tapes wissen? Onmogelijke klus, dus niet noodzakelijk (interpretatie!)

omkelderman @siteoptimo • 16 februari 2019 11:12

Best practice misschien niet, maar wel de defacto standaard

Anders @Kees • 16 februari 2019 11:57

Als mensen vaak gegevens per ongeluk wissen is het best practice om de user interface te verbeteren, niet om gegevens stiekem alsnog te bewaren. Restoren is immers geen doel van gegevensverwerking.
Gezegd moet wel worden dat Twitter er in z'n privacy statement (artikel 1.4) geen enkel misverstand over laat bestaan dat DM's op de server bewaard blijven, ook nadat de verzender ze heeft verwijderd. Er is in dit geval dus geen sprake van dat de DM's stiekem worden bewaard. Twitter zegt dat er twee partijen zijn in communicatie, en dat het verwijderen door de verzender niet betekent dat de berichten voor de ontvanger verdwijnen. Dat is een beslissing die Twitter heeft genomen over zijn dienstverlening (en die beslissing mogen ze nemen, mits ze de gebruikers erover informeren) en daarmee is het bewaren van DM's op de server te verantwoorden in het kader van de AVG.
Het bewaren van gegevens om opsporingsdiensten terwille te zijn, is niet noodzakelijk voor de uitoefening van de dienst dus niet toegestaan
De AVG vereist geen backups

RvdDungen @Kees • 16 februari 2019 10:58

De backups mogen echter ook niet voor eeuwig bewaard blijven. Backups zijn namelijk niet bedoeld als archief. Dus na een week of zo moet je die ook verwijderen, want niemand gaat een back-up van een productieomgeving na een week nog terugzetten.

Voor de rest goede argumenten om een deleted-veld te gebruiken, al zal het per situatie verschillen of dat noodzakelijk is en dus mag.

maussie95 @RvdDungen • 16 februari 2019 13:56

Misschien zal niet de hele back-up teruggeplaatst worden na een week, maar specifieke data kan best terug gevraagd worden. Ik heb bestanden van jaren geleden teruggehaald op aanvraag. Het komt misschien niet veel voor, maar het zal vast ergens gebeuren. Bijvoorbeeld een FBI onderzoek die alle DM's van een oplichter wil inzien, juist inclusief de verwijderde DM's.

klakkie.57th @maussie95 • 17 februari 2019 12:00

backup's zijn geen verplichting.
Als een Juridisch onderzoek je backups vraagt en die zijn er niet , dan zijn die er niet ..

Verwijderd @Kees • 16 februari 2019 11:32

Kan zijn maar dan moet je dat wel duidelijk melden.

Jerie

@Kees • 16 februari 2019 11:56

Bij incremental backups is dat eenvoudig; bij full backups niet maar daar heb je er niet veel van. Die verwijder je op een gegeven moment ook.

Lisadr @roooii • 16 februari 2019 23:03

Ga er vanuit dat Facebook (ook Instagram en Whatsapp) Google en anderen alles tekstuele communicatie bewaren, ook al heb jij het als gebruiker verwijderd.

[Reactie gewijzigd door Lisadr op 22 juli 2024 18:10]

WhatsappHack

Websites en community's
Twitter

@Lisadr • 17 februari 2019 10:20

WhatsApp slaat normaliter geen berichten op op de servers.

Staat enkel lokaal op je toestel. Vroeger bewaarde ie lokaal dan wel verwijderde berichten totdat ze overschreven werden in de lokale SQLite database, dat was efficiënter. Maar ook inherent onveiliger, dus tegenwoordig expunged ie het.

Verwijderd is dus echt verwijderd. (Muv je eigen backups dan he.)

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:10]

Lisadr @WhatsappHack • 17 februari 2019 10:29

Heb je daar een bron voor?

Hoe zit het dan met online backups van je Whatsapp berichten. Dit worden in Google Drive opgeslagen, maar heeft Google daar toegang tot?

WhatsappHack

Websites en community's
Twitter

@Lisadr • 17 februari 2019 13:25

Ja de WhatsApp website, specs, eigen onderzoek en de specs van het encryptieprotocol: https://www.whatsapp.com/...p-Security-Whitepaper.pdf. Ik was wel een ding vergeten: berichten kunnen, volledig encrypted (WhatsApp kan je berichten niet lezen want heeft de decryptiesleutels niet), wel tot maximaal 30 dagen op de server blijven staan als het bericht niet afgeleverd kan worden bij de ontvanger. Als dat na 30 dagen nog steeds niet is afgeleverd, dan gaat het bericht verloren en verwijdert de server het alsnog. Als ie meteen afgeleverd wordt blijft ie niet staan.

Backups van de berichten in Google Drive zijn ook encrypted (met een enkele key). Media niet. Als je dat niet prettig vindt kan je altijd kiezen om uitsluitend te back-uppen naar je SD-kaart en de back-up handmatig veiligstellen zoals op je PC of uploaden naar eigen server. Deze backup is ook encrypted. Het backup bestand is dus nooit plain-text.

Dennisb1 @WhatsappHack • 18 februari 2019 10:12

WhatsApp kan prima alle berichten uitlezen. Ze wisselen immers zelf de encryptie sleutel uit. Het werkt alleen als veiligheidslaag tussen het toestel en de WhatsApp server. Alleen zullen ze dit natuurlijk niet aan de grote klok gaan hangen want dan is het hek van de dam. Je spreekt jezelf ook al wat tegen dat WhatsApp het bericht 30 dagen vast houd, hiermee geven ze al aan dat ze het bericht hebben, houden en vasthouden.

Encryptie werkt alleen als je fysiek eerst een decryptie sleutel moet uitwisselen i.p.v. een geautomatiseerd proces die ook de sleutel direct vervangt als je tegen partij een nieuwe telefoon krijgt.

Backup's in Google Drive zijn ook prima uit te lezen door Google, zij weten de manier, zij weten hoe.

[Reactie gewijzigd door Dennisb1 op 22 juli 2024 18:10]

WhatsappHack

Websites en community's
Twitter

@Dennisb1 • 18 februari 2019 10:49

WhatsApp kan prima alle berichten uitlezen. Ze wisselen immers zelf de encryptie sleutel uit. Het werkt alleen als veiligheidslaag tussen het toestel en de WhatsApp server.

Klinkklare onzin.

Niet lullig bedoeld; misschien moet je jezelf eerst eens bekend maken met wat (moderne) encryptie precies is/kan en hoe het werkt, zowel in het algemeen als in WhatsApp en andere messengers die het aanbieden, voordat je zulke onzin verspreidt.

Je had zelfs op z’n minst even de specs die ik in m’n post heb gelinkt kunnen lezen, maar zelfs dat heb je duidelijk niet gedaan of niet begrepen. Jammer, ik link er niet voor niets naar.

Ik ga het ook maar één keer uitleggen.

Er is naast de end-to-end encryptie ook een encryptielaag op de verbinding. Net zoiets als bijvoorbeeld een tls verbinding tussen jou en een website, dat biedt inderdaad enkel beveiliging tussen jou en de server. Dat staat echter volledig los van de encryptie tussen twee endpoints: jij en de ontvanger. Dat laatste is de E2EE, waardoor het voor de WhatsApp servers niet mogelijk is om mee te lezen met je berichten en bijlagen.

Ik stel voor dat je je even inleest in wat end to end encryptie precies is, de specs doorleest en zelf nog even verder zoekt hoe Signal Protocol in z’n werk gaat.

Scheelt veel tijd, behoeft minder uitleg en dan kan je in de toekomst wellicht zinnig inhoudelijk meepraten over het onderwerp.

Je spreekt jezelf ook al wat tegen dat WhatsApp het bericht 30 dagen vast houd, hiermee geven ze al aan dat ze het bericht hebben, houden en vasthouden.

Je telefoon encrypt het bericht, het versleutelde bestand gaat vervolgens naar de WhatsApp server. De WhatsApp server kan de inhoud van het bericht NIET lezen, immers heeft WhatsApp de benodigde sleutels niet. De server stuurt dit bestandje direct naar (alle) ontvanger(s) en het versleutelde bestandje wordt weer verwijderd want klaar. Kan het bericht niet afgeleverd worden, dán blijft het versleutelde bestandje maximaal 30 dagen in de buffer staan. Again: dat is end-to-end encrypted, het is niet mogelijk voor WhatsApp om dit bericht uit te lezen, ze dienen louter als relay voor de versleutelde payload, net als bijvoorbeeld een third-party router (hop) ergens op je route naar een server op een ander netwerk: die kunnen de inhoud van je https verkeer niet uitlezen, enkel forwarden naar de volgende hop (die het ook niet kan lezen), tot het uiteindelijk bij de bestemming is die de sleutel heeft en het kan decrypten. In het geval van WhatsApp is dat enkel de smartphone van de ontvanger, gezien de sleutels (tenzij je dat zelf doet (root/jailbreak voor nodig)) je toestel niet verlaten.

WhatsApp heeft dus enkel een bestandje waarin het bericht verborgen zit, ze hebben geen toegang tot de tekst van het bericht zelf. Daarmee kan je dus niet stellen dat WhatsApp het bericht heeft, WhatsApp heeft enkel een stroom aan onontcijferbare rare tekens waar ze niets mee kunnen...

Encryptie werkt alleen als je fysiek eerst een decryptie sleutel moet uitwisselen i.p.v. een geautomatiseerd proces die ook de sleutel direct vervangt als je tegen partij een nieuwe telefoon krijgt.

Dat eerste zinnetje slaat nergens op. We kunnen al jaren veilig op afstand en indien nodig asynchroon sleutels uitwisselen over het internet heen. Als je dit altijd fysiek zou moeten doen, dan is volgens jou dus alle encryptie volslagen nutteloos en is zelfs HTTPS waardeloos.

Ik weet niet welk boek jij gelezen hebt mbt encryptie, maar ik zou ff iets moderners aanschaffen.

Het tweede betreft de retransmission. Dat is onderdeel van het protocol, immers verlaat je privésleutel nooit je toestel, dus ja: als je een nieuwe telefoon krijgt of herinstalleert dan moet je nieuwe sleutels uitwisselen. Nogal logisch. Hier krijg je netjes een waarschuwing over (mits correct ingesteld) zodat je out-of-band weer de sleutels met elkaar kunt controleren zodat je zeker weet dat je chat veilig is. Prima systeem.

Backup's in Google Drive zijn ook prima uit te lezen door Google, zij weten de manier, zij weten hoe.

Nee, Google kan de encrypted backup van je WhatsApp-berichten niet zelf uitlezen.

Ik hoop dat het je nu duidelijker is hoe het werkt. Als je het nog niet snapt stel ik nogmaals voor: lees eerst de bronnen en zoek meer informatie over end to end encryptie (Signal Protocol in het bijzonder), key exchanges en algemene moderne info over encryptie. Mocht je dan nog vragen hebben dan hoor ik het graag.

Wil je volhouden dat het werkt zoals je beschreef, dan zul je daar je bronnen voor moeten tonen en uitleg moeten geven.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:10]

chielsen @WhatsappHack • 19 februari 2019 09:07

Toch is de SSL chain wel redelijke op fysieke uitwisseling gebaseerd. Je koop namelijk een drager met windows of windows voor geinstalleerd, en daarmee krijg je een hele lijst met vertrouwde partijen die dan ook weer andere partijen kunnen vertrouwen waardoor uiteindelijk pietjepuk.nl een vertroude SSL verbinding kan opzetten.
Als je op een onvertrouwde computer zonder deze certificaten zit is er geen digitale manier om zeker te weten dat jij echt met de juiste persoon aan het praten bent.

Het feit dat er dus een truste ceritificate authority tussen zit is een belangrijk punt. Als het hele proces van uitwisselen van keys door 1 partij gedaan wordt kan je er nooit zeker van zijn dat je communicatie veilig is. Op dit moment kan je alleen maar concluderen dat op dit moment WA (nog) niet mee heeft geluisterd. Maar zeker bij de volgende app update kan dat al zomaar veranderen.

Je zegt zelf al dat het bijvoorbeeld een instelling is die je wel of niet waarschuwt dat je key wordt uitgewisseld. Hoe makkelijk is het om dat niet te doen?

WhatsappHack

Websites en community's
Twitter

@chielsen • 20 februari 2019 01:10

Toch is de SSL chain wel redelijke op fysieke uitwisseling gebaseerd. Je koop namelijk een drager met windows of windows voor geinstalleerd, en daarmee krijg je een hele lijst met vertrouwde partijen die dan ook weer andere partijen kunnen vertrouwen waardoor uiteindelijk pietjepuk.nl een vertroude SSL verbinding kan opzetten.

Ik gebruik geen Windows, maar dat terzijde.

Je doelt nu op de root certificaten. Dat is weer een compleet ander verhaal en heeft een andere functie dan waar het over ging m.b.t. key-exchanges. Overigens worden lijsten met root certificaten tussendoor gewoon geüpdatet he. Die DVD (kopen mensen die nog? Windows download je tegenwoordig toch ook gewoon van de Microsoft site?

) met Windows die je x jaar geleden hebt gekocht kan verouderde en ingetrokken certificaten bevatten, je zult digitaal de nieuwe op moeten halen (en/of die shippen met je browser mee.). Maar hoe het ook zij: die hebben weinig te maken met de exchanges tussen 2 partijen, dat heeft meer te maken met validatie en controle van uitgegeven certificaten die bevestigen dat jij (of nouja... de gene die de privésleutel bezit) inderdaad de eigenaar bent van een bepaalde publieke sleutel. (In theorie. In de praktijk is dat soms ook niet helemaal waar, maar goed - dat gaat allemaal weer ver en mitsen en maren en blabla, we weten intussen wel dat het niet 100% waterdicht is.

)

Wat je vervolgens onderling doet kan ook compleet afwijken per applicatie en heeft die CA verder niets mee te maken. In principe ondertekenen die enkel certificaten en omdat zij vertrouwd worden worden de door hen uitgegeven certificaten vertrouwd door de applicatie(s) als alles overeenkomt én het certificaat nog geldig is. Het onderliggende protocol zeggen ze verder niets over... Zo biedt een geldig certificaat (ondertekend door de CA) ook geen enkele bescherming als de server en client onderling gebruik maken van enorm brakke of backdoored ciphers/protocol (voor de key-exchange en/of de communicatie). Dat staat er dus helemaal los van.

Een CA is geen vereiste voor veilige communicatie, het maakt het enkel veel makkelijker om te verifiëren en daarmee levert het in algemene zin bij HTTPS inderdaad een flinke bijdrage aan de veiligheid en een enorme winst qua gebruiksgemak. Maar zelfs dat is niet waterdicht. Als ik jouw privésleutel weet te jatten, dan kan ik doodleuk doen alsof ik jou ben en de CA zal gewoon zeggen dat het allemaal geldig is...

Het feit dat er dus een truste ceritificate authority tussen zit is een belangrijk punt. Als het hele proces van uitwisselen van keys door 1 partij gedaan wordt kan je er nooit zeker van zijn dat je communicatie veilig is.

Je kan er sowieso nooit zeker van zijn dat je communicatie veilig is.
Maar in dit geval zit je op WhatsApp's platform en blijf je binnen WhatsApp's platform. Dat WhatsApp als soortement CA optreedt (technisch gezien doen ze dat niet overigens want er is geen directe validatie, daarom moet je zélf handmatig hashes met elkaar vergelijken om te controleren of je wel praat met wie je denkt te praten

, maar om het even simpel te houden.) is dan eigenlijk ook logisch. In een ideale wereld hadden voor https overigens ook geen CA's nodig (immers zijn die ook niet allemaal betrouwbaar gebleken (*kuch*diginotar*kuch*)), maar dat systeem werkt op het moment nou eenmaal zo.

Uiteraard zou het kunnen dat WhatsApp, of welke messenger dan ook overigens die encryptie aanbiedt, de code op kwaadaardige wijze aanpast en bijvoorbeeld de keys van je jat of het protocol rigged. Dat is een risico dat er altijd is. Net zozeer als dat je je webbrowser moet vertrouwen je niet te naaien, je operating system moet te vertrouwen zijn, je hardware (wordt vaak vergeten) et cetera; het hele zooitje valt en staat met enige mate van vertrouwen TENZIJ je het geheel zelf regelt allemaal* Dat is misschien mogelijk, maar extreem ver van gebruiksvriendelijk. (En dan nog niet 100% waterdicht.)

^{* = en dat lost het benoemde probleem van hardware niet op. Als je dat ook nog zelf kan maken (en het blijkt waterdicht te zijn) dan ben je geniaal en gaat er een schatkist voor je open.}

Je zegt zelf al dat het bijvoorbeeld een instelling is die je wel of niet waarschuwt dat je key wordt uitgewisseld. Hoe makkelijk is het om dat niet te doen?

Je publieke sleutels worden sowieso uitgewisseld, dat is het probleem niet en zelfs gewenst.

Om een gesprek op te starten start een key-exchange en het onderling afspreken van sessiesleutels ook automagisch. (Zie documentatie, staat hierboven gelinkt als reactie op Lisa - daar kan je de complete technische werking in vinden. Aanrader en verhelderend.

) Nee, het is een waarschuwing dat de sleutel van de tegenpartij is gewijzigd, dat gebeurt onder een paar omstandigheden. (Iemand verwijdert WhatsApp, installeert toestel opnieuw, iemand activeert WhatsApp op een nieuw toestel, dat soort dingen.) Dan is het de bedoeling dat je zelf de hashes weer met elkaar vergelijkt. In de praktijk doet bijna niemand dat omdat het ze allemaal geen reet interesseert, dat is ook waarom WhatsApp standaard die melding helemaal niet toont. Vanuit het oogpunt van absolute veiligheid is dat niet fraai, maar als je je bedenkt dat WhatsApp destijds meer dan 1 miljard mensen tegelijk moest voorzien van encryptie en 90% van die userbase zit waarschijnlijk niet te wachten op "die vervelende berichten over sleutelwijzigingen en dat gezeik met encryptie" was het logisch om dat standaard niet in te schakelen.

(Je kan dit aanzetten in de instellingen.) Maar om redelijk zeker te zijn dat je wel praat met wie je wilt praten is dat controleren van hashes wel erg belangrijk, dat is immers je primaire beveiliging tegen hijacking en MitM-aanvallen. (Al is MitM nogal moeilijk op dit protocol.)

Tot zover de uitleg wat ik bedoelde; als antwoord op je vraag: dat is in principe triviaal, maar dat is allemaal theoretisch gedoe.

Het gaat mij om de praktijk en de huidige situatie.
De post waar ik op reageerde stelt dat WhatsApp gewoon mee kan lezen. Dat klopt niet.
Tevens stelde die post dat encryptie enkel veilig mogelijk is als de sleutels fysiek uitgewisseld worden. Dat klopt al helemaal niet.
Daarnaast wekt die post de suggestie dat omdat WhatsApp's servers een encrypted bestand vasthouden als deze niet afgeleverd kan worden, dat ze daarom om de een of andere manier toegang zouden hebben tot de plain-text. Dat klopt niet.
Tenslotte stelt die post dat Google Drive de encrypted containers van WhatsApp uit kan lezen. Dat klopt niet. Althans, ik heb daar geen enkel bewijs voor gezien, maar als dat bestaat zou ik het natuurlijk graag zien. (En nee, niet van 6 jaar geleden met dat crypt5 gedoe. Het gaat om het nu.)

Niets meer, niets minder.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:10]

chielsen @WhatsappHack • 20 februari 2019 10:19

2 dingen:
Dat certificaten worden geupdate kan alleen omdat er al een certicaat op staat waarmee je weet dat je met een vertroude server praat.
HTTPS zonder CA is nutteloos, tenzij je 100% zeker weet dat iemand zijn key correct is, dat is dus precies het punt van fysiek certificaten/wachtwoorden uitwisselen. Wat heb je aan HTTPS als www.rabobank.nl ook gewoon een site van een crimineel kan zijn omdat je op zijn honeypot wifi zit?

Durandal @roooii • 16 februari 2019 13:30

Alles dat je op internet zet gaat er nooit meer af.

ViTO_xp @Durandal • 18 februari 2019 08:44

Was dat maar zo, veel zaken die er vroeger beschikbaar waren zijn gewoon niet meer te vinden...

Verwijderd @roooii • 16 februari 2019 10:02

Daarom ga ik er voor het gemak van uit dat alles ten alle tijden bewaard blijft.
Kan het achteraf niet tegenvallen.

batteries4ever @Verwijderd • 16 februari 2019 10:23

Klopt... het vervelende is dat het niet alleen jouw data is, maar ook die schattige foto van jou die je tante erop gegooid heeft... dus het zal achteraf vaak nog wel tegenvallen!

Verwijderd @batteries4ever • 16 februari 2019 14:48

Oh dit was een voorbeeld. Heb persoonlijk geen social media accounts. Verder deel ik niks met niemand dus een eventuele tante heeft die foto simpelweg niet.

Als sinds dag 1 van social media zit het filter in m'n hoofd.

raro007 @Verwijderd • 17 februari 2019 00:21

Jou tante kan wel een foto van jou maken of zit jij dat te verbieden?

Verwijderd @raro007 • 17 februari 2019 03:03

Het scenario zal hier nooit voorkomen. Mocht dat wel het geval zijn, dan ja.

droner @roooii • 17 februari 2019 11:41

Tuurlijk is het zorgelijk, steeds meer wordt duidelijk dat de ooit zo sympthiek lijkende moderne techbedrijven in feite revolutionair weinig respect hebben voor jouw rechten. Dat geldt voor Facebook, Twitter, Google, Uber, inmiddels ook voor niet-Amerikaanse platformdiensten als Deliveroo: onder het mom van 'vernieuwing' en 'disruptie' mensen uitmelken, niet alleen de klant maar ook de werknemer is liefst volledig rechteloos. 'Anders' met persoonlijke data omgaan dan je communiceert is slechts één van de vele facetten hiervan. Problemen worden vervolgens 'opgelost' met een dikke laag PR en/of advocatuur waarbij totale absentie van respect voor lokale wetgeving doodnormaal is.

Twitter genoot bij mij nog relatief veel sympathie, volledig onterecht natuurlijk...

Edit, wel even een kanttekening hierbij gezien deze reactie van @Anders :

Gezegd moet wel worden dat Twitter er in z'n privacy statement (artikel 1.4) geen enkel misverstand over laat bestaan dat DM's op de server bewaard blijven, ook nadat de verzender ze heeft verwijderd. Er is in dit geval dus geen sprake van dat de DM's stiekem worden bewaard. Twitter zegt dat er twee partijen zijn in communicatie, en dat het verwijderen door de verzender niet betekent dat de berichten voor de ontvanger verdwijnen.

Als dat zo is dan is dit hele nieuwsbericht in feite gebakken lucht, dan is genoemde beveiligingsonderzoeker gewoon niet op de hoogte van dat privacy statement. En hebben alle media die dit bericht overgenomen hebben (incl. Tweakers) dus ook niet even verder gekeken dan hun neus lang was.

[Reactie gewijzigd door droner op 22 juli 2024 18:10]

tonkie_67 @roooii • 17 februari 2019 18:23

Out of curiosity: waarom "al helemaal wanneer het offline storage betreft. Waarom is dat zorgelijker dan online?
Kan dan imho niet zo snel "per ongeluk" gedeeld worden met derden.
Dus begrijp (oprecht) deze opmerking niet

roooii @tonkie_67 • 17 februari 2019 21:22

Ik heb de zin wellicht een beetje verwarrend gecommuniceerd, maar "Echter vind het wel zorgelijk" en het laatste gedeelte staan los van elkaar. "Al helemaal wanneer het offline storage bedraagt." slaat op "Je komt er lastig achter of iets nog wordt bewaard".

M.a.w. het is leuk dat we vanuit de AVG e.d. allemaal nieuwe regels bedenken voor bedrijven om mensen permanent te verwijderen, maar niemand kan controleren of je account ook daadwerkelijk verwijderd is. En als je in een offline storage belandt dan ben je dus "online" wel gewist. Wat gebeurd er dan als de AVG wet uiteindelijk een keer versoberd wordt? Of wetten die gewijzigd worden? Worden offline opgeslagen accounts dan weer tevoorschijn gehaald?

[Reactie gewijzigd door roooii op 22 juli 2024 18:10]

Anders 16 februari 2019 11:44

Wat is dit nou voor raar artikel? Twitter geeft in zijn privacy statement glashelder aan dat DM's bewaard blijven op de servers:

When you use features like Direct Messages to communicate, remember that recipients have their own copy of your communications on Twitter - even if you delete your copy of those messages from your account - which they may duplicate, store, or re-share.

Dus wat is nou precies de grote ontdekking? Wil je niet dat DM's bewaard blijven op de Twitter-servers dan moet je ze niet sturen, daar heeft Twitter nooit enig geheim van gemaakt. Het heeft een van de meest toegankelijke en leesbare privacy statements die je op internet kunt vinden dus niemand kan klagen over dat ze het hebben weggemoffeld in kleine lettertjes. Ik snap hier dus echt de ophef niet.

R4gnax @Anders • 16 februari 2019 12:20

Dus wat is nou precies de grote ontdekking? Wil je niet dat DM's bewaard blijven op de Twitter-servers dan moet je ze niet sturen, daar heeft Twitter nooit enig geheim van gemaakt.

Eventjes het bronartikel lezen:

He also reported a similar bug, found a year earlier but not disclosed until now, that allowed him to use a since-deprecated API to retrieve direct messages even after a message was deleted from both the sender and the recipient — though, the bug wasn’t able to retrieve messages from suspended accounts.

Dit gebeurt dus ook gewoon met DMs die van beide kanten eigenlijk al verwijderd zouden moeten zijn.

DigitalExorcist @Anders • 16 februari 2019 12:21

Het is tegen de regelgeving in. Verwijderen = verwijderen. Wat Twitter doet moeten ze zelf weten maar die moeten ook aan die regelgeving voldoen.

Anders @DigitalExorcist • 17 februari 2019 20:11

Het is alleen de vraag wie eigendom is van de berichten. De GDPR is daar niet duidelijk over en dat laat ruimte voor interpretatie. Zie ook https://webmasters.stacke.../gdpr-clear-chat-messages
Twitter interpreteert het dusdanig dat iedere verzender en iedere ontvanger eigenaar is van zijn eigen kopie van de correspondentie. Daar kun je van alles van vinden, maar Twitter heeft er een duidelijke keuze in gemaakt en heeft die keuze glashelder toegelicht in zijn voorwaarden.

daredevil__2000 @Anders • 18 februari 2019 10:51

In het artikel:

Twitter retains direct messages for years, including messages you and others have deleted, but also data sent to and from accounts that have been deactivated and suspended, according to security researcher Karan Saini.

Twitter slaat het dus onrechtmatig op want het gaat ook om berichten die zowel door verzender als ontvangen verwijderd zijn. Beide kopieën van de correspondentie zijn immers niet meer aanwezig voor de 2 partijen. Twitter moet het in zo'n geval gewoon verwijderen.

DigitalExorcist @Anders • 17 februari 2019 23:19

Twitter verwerkt. Wat een ander er daarna mee doet kan Twitter niet beïnvloeden...

daredevil__2000 @DigitalExorcist • 18 februari 2019 10:52

Twitter zorgt voor de opslag van de gegevens en heeft daardoor een bepaalde verplichting vanuit onder andere de GDPR. In dit geval gaat het ook om berichten welke zowel door de zender als ontvanger verwijderd zijn maar die Twitter vrolijk nog blijft bewaren. Iets wat in het kader van de GDPR niet is toegestaan.

MartijnHavinga 16 februari 2019 09:46

Zolang de gegevens wel echt verwijderd worden op het moment dat de gebruiker daarom vraagt zie ik het probleem niet. Dat jij ze "verwijderd" betekend niet dat ze niet meer "belangrijk zijn voor het functioneren van het product". Volgens mij hoeven de gegevens niet eens verwijderd te worden als jij je account opheft. Als de gegevens geanonimiseerd worden hoeven ze helemaal niet meer verwijderd te worden (maar dan krijg jij ze ook niet meer als je jouw gegevens opvraagt).

jorikc

@MartijnHavinga • 16 februari 2019 11:54

Zoals ik AVG/GDPR begrijp, heb je het recht dat bedrijven jouw persoonlijke gegevens moeten verwijderen. Als je bepaalde info kunt anonimiseren, is het wellicht geen persoonlijke gegevens meer.

Ik kan me bijvb voorstellen dat je privé berichten aan je partner verwijderd moeten worden, maar een geanonimiseerde analyse van je teksten die de predictive input voor een “slim” keyboard verbeterd, wel bewaard mogen blijven.

djwice

@jorikc • 16 februari 2019 13:30

Lijkt mij eigenlijk niet, het algoritme is immers afgeleid van persoonlijke communicatie. En zal zonder die input anders zijn geweest. Daardoor zijn er dus wel degelijk persoonlijke gegevens opgenomen in het algoritme. En die moeten dus bij verzoek verwijderd worden.

Anonimiseren is vaak een wassen neus, met wat extra data worden ze al snel als nog persoonsgegevens.

Slaiter @djwice • 16 februari 2019 18:50

Persoonlijk vind ik dat men behoorlijk doordraaft in dergelijke zaken, want hoe is anomiseren een wassen neus als de partij daarna niets meer van de communicatie kan koppelen naar/aan een bepaald persoon?
De persoonsgegevens als naam, adres, geboorteplaats, jaar, telefoonnummer en sekse is dan namelijk geheel ontkoppeld van de input. Welke data zou er dan aan bijvoorbeeld een tweet over een politieke opvatting gekoppeld moeten worden om de persoon te achterhalen? Realistisch nee, maar als je doomdenkt dan is alles mogelijk.

Je er zijn een aantal 'bijzondere' persoonsgegevens en daar zullen mensen op twitter, facebook en weet ik waar het misschien absoluut over hebben, maar zolang het niet aan een specifiek persoon gekoppeld kan worden. Wat is dan het probleem?

Men kiest er uiteindelijk zelf voor om via een bepaald medium te communiceren, waarvan men willens en wetens de voorwaarden toch vaak nooit leest, dus ook niet inzake het bewaren van de gegevens. Let wel bewaren is niet gelijk aan verspreiden of opvraagbaar door derden.

Wel vind ik het persoonlijk van belang dat een organisatie tenminste aangeeft dat het bewaard wordt, voor hoelang en met welk doel. En dat voordat ik met een dergelijke organisatie in zee ga natuurlijk.

Sidenote: bijzondere persoonsgegevens volgend de APV.

ras of etnische afkomst;
politieke opvattingen;
godsdienst of levensovertuiging;
lidmaatschap van een vakbond;
genetische of biometrische gegevens met oog op unieke identificatie;
gezondheid;
seksuele leven;
strafrechtelijk verleden.

[Reactie gewijzigd door Slaiter op 22 juli 2024 18:10]

djwice

@Slaiter • 16 februari 2019 20:13

We zijn inmiddels in staat om aan de hand van het type gedrag van mensen (denk aan snelheid tussen letters, woord keuze etc) iemand na 10 zoek opdrachten te koppelen aan een eerder geanonimiseerd profiel.

De manier waarop iemand tweet en waarover en op welk moment, met welke woorden, in welke volgorde en welke hashtags en wat iemand retweet , geven allemaal haakjes om iemand later opnieuw te kunnen koppelen.

Het is inderdaad voor veel mensen nauwelijks te bevatten hoe ver we op dat gebiedt zijn. Hoeft ook niet, als je er als data verwerker maar van bewust bent dat door hashing of weglaten van gegevens je de data niet persoonsonafhankelijk maakt.

Verwijderd @jorikc • 18 februari 2019 05:55

Doelbinding is leidend. Anonimiseren is een middel. Als dit tot doel heeft om het recht tot verwijdering te omzeilen, dat zou een interessante case zijn.

Even buiten het feit dat, zeker ongestructureerde data genoeg info blijft bevatten tot herleiden, wat is de betrouwbaarheid van geanonimiseerde data? Er kan theoretisch nooit gecontroleerd worden of er met de data is geknoeid tijdens het "anonimiseren". Als dit wel kan, is het herleidbaar.

TWeaKLeGeND @MartijnHavinga • 16 februari 2019 10:09

Als twitter claimt de gegevens echt te wissen dan moet Twitter ze ook wissen. Jij vind het misschien niet erg om misleid te worden maar het is echt niet oké

MartijnHavinga @TWeaKLeGeND • 16 februari 2019 16:04

Dat klopt. Ik heb geen Twitter en weet verder ook niet wat ze wel en niet claimen. Ik weet alleen dat je persoonlijke info alleen hoeft te verwijderen als er specifiek om gevraagd wordt of als je het niet (meer) nodig hebt voor je bedrijfsvoering.

TWeaKLeGeND @MartijnHavinga • 16 februari 2019 16:29

Ik ook niet maar dit bericht op tweakers stelt dat Twitter zegt wel te wissen terwijl ze het niet doen. Ik zeg ook altijd tegen iedereen 'zeggen ze' wanneer ik een vraag krijg over of bijv fotos bij Google photos echt gewist worden als je ze wist : Ja, niet direct maar op den duur omdat het op verschillende locaties kan staan wissen ze het echt.... 'zeggen ze'.

Verwijderd @TWeaKLeGeND • 16 februari 2019 20:48

Maar dat claimen ze toch niet? Staat vrij duidelijk in hun voorwaarden.

TWeaKLeGeND @Verwijderd • 16 februari 2019 21:56

Wel dat verwijderde accounts ook echt verwijderd worden incl inhoud.

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 18:10]

Emiel L 16 februari 2019 09:29

Zoals altijd zal de reactie wel zijn ‘ja, dat was een bug. We gaan er aan werken...’ en verandert er uiteindelijk niets. Dat, of ze bewaren het wel maar geven het je niet terug als je je gegevens opvraagt...

Stadtionalist @Emiel L • 16 februari 2019 09:31

Men vraagt zich nu intern af bij Twitter welke developer ze op het matje moeten roepen voor het niet afschermen van die data wanneer een gebruiker z'n gegevens opvraagt ;-)

polopolo150 @Stadtionalist • 16 februari 2019 09:39

Volgens mij is dat juist het ding van AVG. Dat ze alles moeten overhandigen.

Jboy1991 @polopolo150 • 16 februari 2019 10:05

Alleen de vraag is: hoe weet jij zeker dat je alle data hebt ontvangen? Jij als gebruiker kan dit namelijk nooit controleren.

Denk dat de reactie hierboven daarop slaat.

batteries4ever @Jboy1991 • 16 februari 2019 10:22

Nee: het gaat erom dat een gebruiker berichten verwijdert en dan bij een data aanvraag vrolijk alle ‘gedelete’ data vrolijk terug vindt. Het correcte antwoord het moeten zijn dat alle gedeelte data ook echt weg was. Dat Twitter, Facebook en co. natuurlijk tegen aloe regels in alles bewaren, ongeacht of de gebruiker het weggooit, maar het is stom dat de gebruiker te laten weten...

Jboy1991 @batteries4ever • 16 februari 2019 10:26

Ja ben het helemaal met je eens. Alleen als gebruiker kan jij nooit weten of je alle data krijgt en/of echt verwijderd word wanneer je erom vraagt.

En wat is verwijderen? Het kan ook ontkoppeld worden van je userid en gebruikt worden voor analyseren van data (geen idee in hoeverre dit handig is).

Maar mijn persoonlijke mening is: wanneer jij aangeeft data bepaalde data (in dit geval privé berichten) verwijderd moet worden. Dan moet het bedrijf dit ook echt verwijderen. Maar de vraag is of zij geen data bewaarplicht hebben van 5 jaar?

WillySis @Jboy1991 • 16 februari 2019 11:53

Nee Twitter hoeft niets te bewaren. De sleepwet verplicht providers allen om te bewaren welke sites je hebt bezocht. Aan sites zelf worden geen verplichtingen opgelegd.
Twitter mag het bericht dus gewoon verwijderen. In de praktijk is het zetten van een delete vlag veel gemakkelijker en als een bedrijf dat vervolgens netjes afhandelt zetten ze dat er bij het opvragen van data ook netjes bij en worden de verwijderde posts na een aantal weken definitief verwijderd.

Jboy1991 @WillySis • 16 februari 2019 12:15

ah echt, ik dacht dat bedrijven verplicht zijn om een x aantal jaar aan data (zoals berichten etc) te bewaren. Of is dit ook weer afhankelijk waar het bedrijf gevestigd is?

PcDealer @Jboy1991 • 16 februari 2019 13:08

De verplichtingen aan bedrijven vanuit de belastingdienst zijn op bepaalde zaken van toepassing, niet op berichten.

Wim-Bart @PcDealer • 16 februari 2019 16:42

Ligt er aan, Amerikaanse bedrijven, met vestigingen in Europa hebben zich gewoon te houden aan regels. Hierin zit onder andere regelgeving dat bepaalde e-mail of andere communicatie bewaard moet blijven. Binnen Exchange kan dat bijvoorbeeld heel makkelijk, wist de gebruiker een bepaald bericht dan is dat bericht weg voor de gebruiker maar nog steeds aanwezig als er bepaalde sleutelwoorden in staan. Je krijgt zo een mailbox ook niet gewist, hoogstens ontkoppeld. Afhankelijk van de regelgeving kan dit bijvoorbeeld gewoon 10 jaar blijven bestaan. En op echt wissen staan gewoon hoge straffen. Overigens is ieder in de USA aan de beurs genoteerd bedrijf hieraan gehouden.

WillySis @Jboy1991 • 17 februari 2019 01:06

De sleepwet is een Nederlandse wet. Bedrijven in het buitenland vallen daar over het algemeen niet onder, tenzij de activiteiten speciaal op Nederland zijn gericht.
Ook in Nederland geld er geen bewaarplicht, daar de wet het specifiek over de providers heeft.

tonkie_67 @WillySis • 17 februari 2019 19:05

In het kader van de sleepwet zijn providers niet alleen de access providers, maar ook leverancier van bepaalde diensten zoal mail of twitter. En ze moeten een heleboel metadata bewaren. Wellicht niet het bericht zelf, maar wel zoveel metadata dat het bij een dienst als twitter genoeg data is om alsnog het bericht zelf terug te vinden.
En in andere landen is het weer anders. Zou best kunnen zijn dat het voor een nederlandse twitter "klant" anders uitpakt dan voor de "klanten" waarop dit onderzoek is gebasseerd

WillySis @tonkie_67 • 18 februari 2019 11:32

De uitleg van het woord provider is voor meerdere uitleg vatbaar, maar uit de overige content van de wet en de aard van de metadata die bewaard moet worden, kan je vermoedden dat hier alleen de acces provider wordt bedoeld.

niki_lauda @Jboy1991 • 16 februari 2019 11:23

Ja en echt verwijderen gebeurd meestal in de lopende bestanden. Bedrijven hebben bijv nog maand of jaar backups. Leuke vraag die je kunt stellen aan zo'n bedrijf als je een verwijderverzoek doet en hebt toegewezen gekregen.

Vaak krijg je de opmerking: 'oh daar hadden we niet aan gedacht'

Een vriendin van mij heeft meegemaakt dat als gevolg van een storing bij AOL- al haar mail van de 10 voorgaande jaren werd gerestored. Dat geeft dus te denken, wat is wissen/verwijderen echt??

Patkroi @batteries4ever • 16 februari 2019 17:44

Exact, als ik op delete klik ga ik er niet vanuit dat ze evengoed doodleuk mijn bericht bewaren. Gelukkig heb ik het amper gebruikt en nu denk ik wel 2 keer na voor ik dm gebruik.

HoeZoWie @polopolo150 • 17 februari 2019 13:39

Volgens mij is dat juist het ding van AVG. Dat ze alles moeten overhandigen.

Dat lijkt mij niet, bijvoorbeeld de Europese AVG, zorgt er juist voor dat individuele privacy is en blijft beveiligd, zonder toestemming van de eigenaar, mag de persoonlijke data, niet langer bewaard worden / blijven, dan 1 jaar.

Verwijderd 16 februari 2019 09:57

Is dit nieuws ?? Was het eerder niet Facebook die 'verwijderde' gegevens nog netjes op hun servers hadden staan??

Dan rest de vraag: wie is de volgende waar blijkt dat 'verwijderde' gegevens niet verwijderd zijn ??

Apppie3 @Verwijderd • 16 februari 2019 10:47

Dus m.a.w. bepaalde media liegen dat ze barsten?
Er is wel een verschil tussen "bewaren" en "verkopen" van data.

Van de ene kant:
Je bent zelf verantwoordelijk voor de data (van jezelf of je naasten) die je op het World Wide Web plaatst, om het even welk platform je daarvoor hebt gebruikt.

Van de andere kant:
In de beginjaren waren wij ons niet zo bewust van de "risico's" die social media met zich brengt en we gingen ervan uit dat iedereen zich aan bepaalde etikette en regels houdt.
Dat was achteraf gezien misschien wel naief, maar dat rechtvaardigt niet het misbruik van data door anderen.

Kain_niaK 16 februari 2019 09:30

Al deze social media platforms verdienen geld aan de data van hun gebruikers. Dat is hun hele business model. Ze zouden stom zijn om ook maar iets van die user data te verwijderen, je nooit wat voor analyse software je er over heen kan laten gaan die je dan weer data geeft die je kunt verkopen. En dus liegen de grote (en waarschijnlijk kleinere platformen) platformen voortdurend tegen hun "product" (gebruikers).

Niks is gratis en jouw data kan zo maar een euro of 10 waard zijn. Of een euro of 10 cent maar in ieder geval iets. En als er ook maar een accountant of data analyst of groot aandeelhouder het idee heeft dat er aan die DM"s iets te verdienen valt dan worden die dingen nooit verwijdert. En zelfs al worden ze verwijdert dan worden ze niet verwijdert.

Helemaal leuk wordt het wanneer de analyse van je stem (die een computer in staat stelt je na te doen) je vingerafdruk, je retina, een analyse van je gezicht ... wanneer dat allemaal online komt te staan.

En mochten het westen ooit weer door een dictator geregeerd worden en dat bevalt jou niet en je komt tegen hem in omstand. Kan het zomaar zijn dat je opgepakt word voor het plegen van een bankoverval. Jou gezicht op de video, jouw stem op de audio, jou vingerafdrukken op de deur, jou bericht dat je een bank gaat overvallen op social media.

"Meer bewijs hebben we niet nodig, meneer de rechter"
Zelfs je moeder gaat het moeilijk hebben om in je onschuld te geloven tegen deze bewijs overlast.

[Reactie gewijzigd door Kain_niaK op 22 juli 2024 18:10]

albatross @Kain_niaK • 16 februari 2019 09:54

Al deze social media platforms verdienen geld aan de data van hun gebruikers. Dat is hun hele business model. Ze zouden stom zijn om ook maar iets van die user data te verwijderen, je nooit wat voor analyse software je er over heen kan laten gaan die je dan weer data geeft die je kunt verkopen. En dus liegen de grote (en waarschijnlijk kleinere platformen) platformen voortdurend tegen hun "product" (gebruikers).

Niks is gratis en jouw data kan zo maar een euro of 10 waard zijn. Of een euro of 10 cent maar in ieder geval iets. En als er ook maar een accountant of data analyst of groot aandeelhouder het idee heeft dat er aan die DM"s iets te verdienen valt dan worden die dingen nooit verwijdert. En zelfs al worden ze verwijdert dan worden ze niet verwijdert.

En je begon zo goed, hier.

"worden verwijderd" is met een 'd', overigens.

En mochten het westen ooit weer door een dictator geregeerd worden en dat bevalt jou niet en je komt tegen hem in omstand. Kan het zomaar zijn dat je opgepakt word voor het plegen van een bankoverval. Jou gezicht op de video, jouw stem op de audio, jou vingerafdrukken op de deur, jou bericht dat je een bank gaat overvallen op social media.

"Meer bewijs hebben we niet nodig, meneer de rechter"
Zelfs je moeder gaat het moeilijk hebben om in je onschuld te geloven tegen deze bewijs overlast.

Maar nou ga je een beetje off the deep end. Het maar eindeloos bewaren van berichtjes, door social media giganten, is inderdaad zeer zorgelijk; en om precies de reden die jij noemt: het zijn 'leads', zeg maar, waar geld mee te verdienen valt (en de reden waarom ze er maar nooit mee ophouden). Maar dan ga je plotsklaps over naar een paranoide verhaal over dictators, die met 'faking' software jou proberen te framen voor een bankoverval. Beetje uit de bocht geschoten?!

Verwijderd @albatross • 18 februari 2019 06:05

It is unlikely that unlikely events do not happen.... Misschien niet een dictator, dan een hacker, iemand die jou niet mag, of gewoon iemand die zich verveelde.

Zodra je geflagd staat bij de verkeerde instanties, terecht of niet, ben jij en je omgeving de klos.

Wie had ooit kunnen bedenken dat fanatieke gamers elkaar laten oppakken en zelfs vermoorden? Het is meermaals gebeurd in de usa door SWAT teams.

SirBlade @Kain_niaK • 16 februari 2019 10:20

[diactormode]
Die Kain_niaK is wel erg lastig, daar moet ik maar eens iets aan laten doen. Zal ik heel veel moeite doen om hem valselijk te laten veroordelen? Of stuur ik gewoon iemand van de geheime dienst om een roofmoord in scene te zetten?
[/diactormode]

Je ziet het argument "wat als er straks een dictator komt" steeds vaker, maar men gaat er altijd van uit dat die dictator zich wel houdt aan zaken als een eerlijk proces, het onschuldigheidsprincipe en dergelijke. Het hele punt van een dictatoriaal regime is dat ze dat juist niet doen. Waarom zou je bij voorbeeld uitzoeken wie er precies tegen je heeft gestemd als je een hele wijk kan opsluiten in een heropvoedingskamp als het percentage voorstemmers te laag is.

dasiro 16 februari 2019 09:41

het kan goed zijn dat dit ook nog een bepaalde tijd verplicht is voor opsporingsdiensten

Mr777 16 februari 2019 09:42

Hoe zat dat ook alweer met dat "recht om vergeten te worden"?

Niet dat we van Twitteraars massaal protest moeten verwachten, daarvoor zijn sociale-mediafanaten al veel te diep in slaap gesukkeld. Gewoon even wat gemor hier en daar, en volgende week is alles alweer vergeten en is het weer de beurt aan Facebook. Negatieve reclame is ook reclame, denken ze vast bij dat soort bedrijven.

MauvL 16 februari 2019 11:24

Ik loop al meer dan een jaar tegen de omgekeerde situatie aan: een DM aan Postnl die ik wil verwijderen, maar die volgens Twitter niet meer bestaat. Niet wég te krijgen. Telkens een heuse 404

3K.Vengeance 16 februari 2019 11:58

Loze bevinding dit, gezien de definitie van een DM.

Net als mail, is een eenmaal verzonden bericht in het bezit van de ontvanger. Ik kan mijn mailprovider vragen al mijn gegevens en berichten omtrent mail te verwijderen. Dan moet ik niet raar opkijken als persoon X nog een 5 jaar oude mail kan terugvinden in zijn/haar inbox.

Tweets, een heel ander verhaal. Zou raar zijn als die nog bij Twitter staan.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (97)

Sorteer op:

Weergave: