Joe Stephenson is managing director of SIU bij Hagerty en Social Media & Online Investigations Expert. Tijdens FRAUDtalks 2018 in Amsterdam waarschuwde hij over het tweesnijdend zwaard van social media-data – hoe deze zowel door onderzoekers als criminelen wordt gebruikt.
Privacy in social media
Zou u uw financiële informatie op Google zetten? Uw bankafschrift? Het overzicht van uw creditcard? Wilt u dat iedereen alles van u mag weten? Wilt u dat ze weten dat nu hier bij deze bijeenkomst bent? Hoeveel u betaalt heeft voor het treinkaartje en waar u heeft ontbeten?
Mensen zetten iedere dag persoonlijke informatie online en de jongere generatie gaat daarin nog steeds verder. Privacy in social media is uiterst kostbaar. Maar het is een tweesnijdend zwaard voor ons in de onderzoekswereld. Wij zien de waarde van deze data en gegevens en kunnen ze gebruiken. Maar we weten ook dat het tegen ons gebruikt kan worden. Want als criminele organisaties een kans zien om ons te raken en te manipuleren dan zullen ze dat zeker doen.
Een heel leven online
Dit is een verhaal van een paar jaar geleden. Samen met een vriend liep ik rond op de campus van het California Technical Institute in Pasadena en we vonden de ID-kaart van een jonge vrouw. Ik kon niemand vinden om de kaart aan af te geven dus zei ik: “Laat ik op mijn telefoon eens zoeken naar haar adres, dan stuur ik de kaart wel op.” En binnen 30 minuten, op mijn mobiele telefoon, vond ik niet alleen een naam en adres maar echt alles over haar. Waar ze woonde, hoe het appartement er van binnen uitzag, hoeveel katten ze had, het werkrooster van haar vriend, waar ze yogales had en waar ze ‘s ochtend haar koffie haalde. Ik had haar haar eenvoudig kunnen volgen. Had ik slechte intenties gehad dan had ik zo haar identiteit kunnen stelen.
Een heel leven online
Dit is een verhaal van een paar jaar geleden. Samen met een vriend liep ik rond op de campus van het California Technical Institute in Pasadena en we vonden de ID-kaart van een jonge vrouw. Ik kon niemand vinden om de kaart aan af te geven dus zei ik: “Laat ik op mijn telefoon eens zoeken naar haar adres, dan stuur ik de kaart wel op.” En binnen 30 minuten, op mijn mobiele telefoon, vond ik niet alleen een naam en adres maar echt alles over haar. Waar ze woonde, hoe het appartement er van binnen uitzag, hoeveel katten ze had, het werkrooster van haar vriend, waar ze yogales had en waar ze ‘s ochtend haar koffie haalde. Ik had haar haar eenvoudig kunnen volgen. Had ik slechte intenties gehad dan had ik zo haar identiteit kunnen stelen.
Dit is een verhaal van een paar jaar geleden. Samen met een vriend liep ik rond op de campus van het California Technical Institute in Pasadena en we vonden de ID-kaart van een jonge vrouw. Ik kon niemand vinden om de kaart aan af te geven dus zei ik: “Laat ik op mijn telefoon eens zoeken naar haar adres, dan stuur ik de kaart wel op.” En binnen 30 minuten, op mijn mobiele telefoon, vond ik niet alleen een naam en adres maar echt alles over haar. Waar ze woonde, hoe het appartement er van binnen uitzag, hoeveel katten ze had, het werkrooster van haar vriend, waar ze yogales had en waar ze ‘s ochtend haar koffie haalde. Ik had haar haar eenvoudig kunnen volgen. Had ik slechte intenties gehad dan had ik zo haar identiteit kunnen stelen.
We willen allemaal belangrijk zijn, we willen speciaal zijn. Dat is het probleem van mensen en online privacy. Het mooie van social media is dat we onszelf kunnen overstijgen en het leven leiden dat we willen, in ieder geval online. We kiezen ervoor om foto’s en informatie online te laten zien – inclusief ons paspoort, visa en financiële gegevens. Het is een tweesnijdend zwaard: want als verzekeraars en onderzoekers gebruiken we deze data ook voor risicoanalyse en claimonderzoek. Omdat de data er is.
We kiezen zelf hoe we onze data weergeven, vertrouwen Facebook en Instragram om het op te slaan maar we hebben geen invloed op het hergebruik. We hebben geen controle over waar de gegevens heengaan en hoe andere mensen het gebruiken. Als onderzoekers vinden we dat fijn, we verzamelen informatie en bewaren het voor langere tijd. Geloof me, er staat heel veel op het internet dat we graag zouden vergeten. Maar gegevens en informatie verwijderen, of laten verwijderen, betekent niet dat je vergeten bent als iemand anders het al heeft vastgelegd en bewaard zonder dat je het weet.
Het zijn de anderen
En hoe zit het met andere mensen die over jou posten op het internet? Zelf post ik niet veel op Facebook maar mijn vrouw post álles op Facebook en Instagram. Kijk op mijn profiel en dan staat er niet veel. Maar wie weet hoe je social media kunt manipuleren vindt ongelooflijk veel informatie over mij.
Het is niet alleen Facebook trouwens, het is ook LinkedIn. Een paar weken geleden zag ik een bericht van een CEO met meer dan 32.000 volgers op Linkedin het cv posten van een jonge man. En hij zegt: “Ik ben bereid om iedere week een cv van iemand te posten, laat het gewoon achter in de comments.” Ongetwijfeld gaat het om een goedbedoelende CEO die iemand aan een baan wil helpen. Maar in de comments onder de post stonden honderden cv’s. Met persoonlijke informatie, sommige met hun geboortedatum, sommige met financiële informatie en sommige hadden zelfs hun PayPal-account genoemd. Dit zijn mensen die misschien geen baan hebben, die financieel krap zitten, op zoek zijn naar werk en bereid zijn om al hun gegevens openbaar te maken. En er is geen weg terug, geen manier om te weten wie die persoonlijke informatie intussen heeft opgeslagen met minder goede bedoelingen.
Persoonlijk is meer dan een naam en adres
Voor alle duidelijkheid: persoonlijke gegevens is veel meer dan je naam, adres en mobiele nummers. Het is je favoriete televisieprogramma, je favoriete cafe waar je iedere dag naartoe gaat. Begin met buiten de lijntjes te denken. Begin eens te denken hoe je favoriete cafe gebruikt kan worden om jou te vinden en je online te volgen. Met een naam, een indicatie van leeftijd en een paar stukjes informatie kan ik je social media accounts vinden. Zelfs als je daar niet je echte naam gebruikt.
Social media platforms geven ons de mogelijkheid om de privacyinstellingen aan te passen. Maar dat geeft een vals gevoel van veiligheid. Ik vond vandaag het Facebook-profiel van een man, een totaal onbekende voor mij. Maar hij heeft veel moeite gedaan om geen enkele persoonlijke informatie in zijn profiel te laten zien, alleen zijn foto. Toch heeft hij ooit zijn moskee geliked, één enkele like die niet verborgen was door Facebook. Met de naam van zijn moskee kan ik hem vinden door te zoeken naar alle mannen die deze moskee hebben geliked en daarna de profielfoto’s te vergelijken. Door het manipuleren van de zoekopdracht in Facebook vinden we daarn alles dat verbonden is met zijn profiel: foto’s en post swaarin hij is getagged, aanbevolen of genoemd. Door een foto van een paspoort en ticket met als bestemming de stad waar hij woont vind ik een neef. En door goed te kijken naar de cirkel van vrienden en familieleden kunnen we steeds meer witte vlekken over hem invullen.
Op deze manier kunnen we als onderzoekers verfijnder zoeken, criminele organisaties in kaart brengen of relaties zoeken tussen partijen. Of mensen betrappen die dom genoeg zijn om foto’s van zichzelf te posten met de gestolen auto of de buit van een overval.
Denk nu eens even na over alle dingen die u heeft geliked. Alle sportclubs, de restaurants waar u heeft ingechekt, foto’s van eten die u heeft genomen. Weet u nog wat u een paar jaar geleden hebt geliked en heeft die informatie verwijderd?
Social media en privacy gaan hand in hand en privacy is een tweesnijdend zwaard. Je moet het begrijpen, niet alleen weten dat het bestaat maar ook hoe je jezelf kunt beschermen. Ik deel graag al mijn informatie, PowerPoints en boeken die ik begonnen ben te schrijven maar nooit heb afgemaakt omdat ze achterhaald waren voor ik klaar was.
Want het draait allemaal om het delen van informatie. Om te leren hoe de data gebruikt kan worden, leren hoe je vindt wat je zoekt en leren hoe je jezelf en je familie kunt beschermen.
Je hebt misschien niets te verbergen maar je hebt altijd iets te beschermen.