Dinsdag 15/10/2019

Facebook

Facebook verleende techfabrikanten massaal toegang tot gegevens van gebruikers en hun vrienden

Mark Zuckerberg tijdens een hoorzitting in de Amerikaanse Senaat in maart. Beeld Photo News

Toen Facebook nog aan de weg timmerde om het grootste socialemediaplatform te worden, sloot het overeenkomsten die techfabrikanten toegang gaven tot grote hoeveelheden persoonlijke informatie. ‘Alsof je sloten monteerde en dan merkte dat de slotenmaker ook zijn vrienden sleutels gaf.’

Facebook heeft de afgelopen tien jaar samenwerkingsverbanden voor het delen van gegevens gesloten met ten minste 60 apparatenfabrikanten, waaronder Apple, Amazon, BlackBerry, Microsoft en Samsung, ook al vóórdat Facebook-apps op grote schaal beschikbaar waren op smartphones, aldus bedrijfsfunctionarissen. Dankzij deze deals kon Facebook zijn bereik uitbreiden en konden apparatenfabrikanten hun klanten populaire functies van het sociale netwerk bieden, zoals berichtenverkeer, ‘like’-knoppen en adresboeken.

Maar deze samenwerkingsverbanden, waarvan de reikwijdte nog niet eerder werd gemeld, roepen vragen op over de privacybescherming van het bedrijf en de naleving van een overeenkomst uit 2011 met de Amerikaanse Federal Trade Commission (FTC). Facebook gaf de apparatenfabrikanten toegang tot de gegevens van vrienden van gebruikers, zonder hun uitdrukkelijke toestemming, zelfs nadat het bedrijf had verklaard dat dergelijke informatie niet langer met buitenstaanders te zullen delen. Sommige apparatenfabrikanten konden zelfs persoonlijke informatie achterhalen van vrienden van gebruikers die dachten dat ze het delen daarvan hadden verboden, zo ontdekte The New York Times.

De meeste samenwerkingsverbanden blijven van kracht, hoewel Facebook in april is begonnen met het afbouwen ervan. Het bedrijf werd steeds nauwlettender in de gaten gehouden door wetgevers en toezichthouders na nieuwsberichten in maart dat een politieke consultingfirma, Cambridge Analytica, de persoonlijke informatie van tientallen miljoenen Facebook-gebruikers misbruikte.

In de beroering die daarop volgde, zei de leiding van Facebook dat het soort toegang dat Cambridge in 2014 exploiteerde een jaar later werd afgesneden, toen Facebook ontwikkelaars verbood om informatie te verzamelen over vrienden van gebruikers. Maar de bedrijfsfunctionarissen openbaarden niet dat Facebook de makers van mobiele telefoons, tablets en andere hardware van dergelijke beperkingen had vrijgesteld.

“Je zou kunnen denken dat Facebook of de apparatenfabrikant betrouwbaar is,” zegt Serge Egelman, een privacy-onderzoeker aan de Universiteit van Californië, Berkeley, die de veiligheid van mobiele apps onderzoekt. “Maar het probleem is dat naarmate er meer en meer gegevens op het apparaat worden opgeslagen – en als deze toegankelijk zijn voor apps op het apparaat – dit ernstige privacy- en veiligheidsrisico’s met zich meebrengt.”

In interviews beweerden Facebook-functionarissen dat het delen van gegevens in overeenstemming was met het privacybeleid, de FTC-overeenkomst en toezeggingen aan gebruikers. De samenwerkingsverbanden zouden worden beheerst door contracten waarin het gebruik van de gegevens strikt werd beperkt, met inbegrip van gegevens die op de servers van partners waren opgeslagen. De functionarissen voegden eraan toe dat zij geen gevallen kenden waarin de informatie was misbruikt.

Het bedrijf ziet de apparatenfabrikanten als uitbreidingen van Facebook, waarmee de ruim twee miljard gebruikers worden bediend, aldus de functionarissen.

“Deze samenwerkingsverbanden werken heel anders dan de manier waarop app-ontwikkelaars ons platform gebruiken,” aldus Ime Archibong, een vicepresident van Facebook. In tegenstelling tot ontwikkelaars die spellen en diensten leveren aan Facebook-gebruikers, mogen de apparatenfabrikanten Facebook-gegevens alleen gebruiken om varianten van “de Facebook-ervaring” te leveren, zeiden de functionarissen.

'Geen buitenstaanders'

Sommige apparatenfabrikanten kunnen onder meer de relatiestatus, religie, politieke gezindheid en komende gebeurtenissen van Facebook-gebruikers opvragen. Uit door The New York Times uitgevoerde testen is gebleken dat de fabrikanten op dezelfde manier als andere partijen gegevens opvroegen en ontvingen.

De mening van Facebook dat de apparaten­fabrikanten geen buitenstaanders zijn, zorgt ervoor dat ze feitelijk nog verder kunnen gaan, bracht de krant naar boven: zij kunnen gegevens verkrijgen over Facebook-vrienden van een gebruiker, zelfs als die Facebook geen toestemming hebben gegeven om informatie met derden te delen.

In interviews hebben verschillende voormalige software-engineers en veiligheidsexperts van Facebook gezegd verbaasd te zijn over de mogelijkheid om beperkingen op het delen van gegevens te negeren.

“Het is alsof je deursloten hebt aangebracht, om er vervolgens achter te komen dat de slotenmaker ook sleutels aan al zijn vrienden heeft gegeven, zodat ze binnen kunnen komen en door je spullen kunnen snuffelen zonder je om toestemming te hoeven vragen,” aldus Ashkan Soltani, een onderzoeks- en privacyconsultant die vroeger hoofd technologie van de FTC was.

Details over de samenwerkingsverbanden van Facebook zijn opgedoken in een berekening in Silicon Valley over de hoeveelheid persoonlijke informatie die op het internet verzameld wordt, om te gelde te worden gemaakt door de technologiesector. De alomtegenwoordige verzameling van persoonsgegevens, die in de Verenigde Staten weliswaar grotendeels ongereglementeerd is, wordt steeds meer bekritiseerd door gekozen functionarissen in binnen- en buitenland, en heeft bij consumenten ongerustheid gewekt over hoe vrijelijk hun informatie wordt gedeeld.

In een met spanning omringd optreden voor het Congres in maart van dit jaar benadrukte de bestuursvoorzitter van Facebook, Mark Zuckerberg, wat volgens hem een bedrijfsprioriteit voor Facebook-gebruikers was: “Ieder stukje inhoud dat je op Facebook deelt, is van jezelf,” zo getuigde hij. “Je hebt de volledige controle over wie het ziet en hoe je het deelt.”

Maar de samenwerkingsverbanden leidden binnen Facebook zelf al in 2012 tot discussies, volgens Sandy Parakilas, die op dat moment leiding gaf aan de afdeling voor advertenties van derden en naleving van de privacyvoorschriften van Facebook.

“Dit werd intern als een privacykwestie aangemerkt,” aldus Parakilas, die Facebook dat jaar de rug toekeerde en onlangs als scherpe criticus van het bedrijf naar voren is gekomen. “Het is schokkend dat deze praktijk zes jaar later nog steeds blijkt door te gaan, en het lijkt in tegenspraak met Facebooks getuigenis in het Congres dat alle gegevensverzameling van vrienden was beëindigd”.

BlackBerry

De samenwerkingsverbanden werden kort genoemd in documenten die aan Duitse wetgevers werden voorgelegd die de privacypraktijk van de socialemediagigant onderzochten, en halverwege mei door Facebook werden vrijgegeven. Maar Facebook gaf de wetgevers de naam van slechts één partner – BlackBerry, de maker van het ooit zo wijdverbreide mobieltje – en weinig informatie over hoe de overeenkomsten werkten.

Deze openbaarmaking volgde op de getuigenis van Joel Kaplan, vicepresident van Facebook voor het mondiaal publiek beleid, tijdens een besloten Duitse parlementaire hoorzitting in april. Elisabeth Winkelmeier-Becker, een van de wetgevers die de heer Kaplan ondervroeg, heeft in een interview gezegd dat zij van mening was dat de samenwerkingsverbanden die Facebook aan het licht had gebracht inbreuk maakten op de privacyrechten van gebruikers.

“Wat we geprobeerd hebben vast te stellen is of Facebook bewust zonder uitdrukkelijke toestemming gebruikersgegevens heeft doorgegeven aan derden,” aldus Winkelmeier-Becker. “Ik had nooit gedacht dat dit zelfs maar in het geheim zou kunnen gebeuren via deals met apparatenfabrikanten. BlackBerry-gebruikers lijken onbewust en zonder hun toestemming tot dealers in gegevens te zijn gemaakt.”

Facebook openbaarde in interviews met The New York Times ook andere partners, zoals Apple en Samsung, ’s werelds twee grootste smartphoneproducenten, en Amazon, dat tablets verkoopt.

Een woordvoerder van Apple zei het bedrijf onder meer op particuliere toegang tot Facebook-gegevens vertrouwde voor functies die gebruikers in staat stelden om foto’s op het sociale netwerk te posten, zonder de Facebook-app te hoeven openen. Apple zei dat zijn telefoons sinds september vorig jaar niet langer beschikten over deze toegang tot Facebook.

Samsung weigerde te antwoorden op vragen over het al dan niet hebben van een samenwerkingsverband met Facebook over het delen van gegevens. Ook Amazon weigerde om vragen te beantwoorden.

Usher Lieberman, een woordvoerder van BlackBerry, zei in een verklaring dat het bedrijf Facebook-gegevens louter gebruikt om zijn eigen klanten toegang te verschaffen tot hun Facebook-netwerk en berichten. De heer Lieberman zei dat zijn bedrijf “geen Facebook-gegevens van onze klanten verzamelde of ontgon,” om eraan toe te voegen dat “BlackBerry altijd al een punt heeft gemaakt van het beschermen, in plaats van te gelde maken, van klantgegevens.”

Microsoft ging in 2008 een samenwerkingsverband met Facebook aan dat apparaten met Microsoft-besturingssoftware toestond om dingen te doen zoals het toevoegen van contacten en vrienden, en het ontvangen van mededelingen, aldus een woordvoerder. Hij voegde eraan toe dat de gegevens lokaal op de telefoon werden opgeslagen en niet naar de servers van Microsoft werden gestuurd.

Facebook heeft toegegeven dat sommige partners gebruikersgegevens – waaronder gegevens van vrienden – wél op hun eigen servers opsloegen. Een Facebook-functionaris zei dat, ongeacht waar de gegevens werden bewaard, deze werden beheerd door strikte afspraken tussen de bedrijven.

“Ik ben stomverbaasd dat om het even wie op het hoofdkantoor van Facebook kan denken dat het toestaan van derdentoegang tot gegevens een goed idee is,” aldus Henning Schulzrinne, een hoogleraar computerwetenschappen aan de Columbia Universiteit, gespecialiseerd in netwerkveiligheid en mobiele systemen.

Buiten directe controle van Facebook

Het Cambridge Analytica-schandaal onthulde hoe losjes Facebook het bloeiende ecosysteem van ontwikkelaars die apps op zijn platform bouwden, in de gaten had gehouden. Er waren bekende spelers bij als Zynga, de maker van het FarmVille-spel, maar ook kleinere, zoals een toeleverancier van Cambridge, die via een quiz voor zo’n 300.000 Facebook-gebruikers toegang verkreeg tot de profielen van maar liefst 87 miljoen van hun vrienden.

Deze ontwikkelaars maakten gebruik van de publieke datakanalen van Facebook, de zogenaamde applicatieprogrammeerinterfaces (API’s). Maar vanaf 2007 heeft het bedrijf ook private datakanalen voor apparatenfabrikanten opgezet.

Mobiele telefoons waren in die tijd minder krachtig, en relatief weinig telefoons konden stand-alone Facebook-apps draaien, zoals die nu gebruikelijk zijn op smartphones. Het bedrijf ging tot 2014 door met het bouwen van nieuwe particuliere API’s voor apparatenfabrikanten, waarbij gebruikersgegevens werden verspreid via tientallen miljoenen mobiele apparaten, spelconsoles, televisies en andere systemen die buiten de directe controle van Facebook vielen.

Facebook is in april begonnen met het afbouwen van de samenwerkingsverbanden, na een evaluatie van de privacy- en datapraktijken naar aanleiding van het Cambridge Analytica-schandaal. Volgens Archibong is het bedrijf tot de slotsom gekomen dat de samenwerkingsverbanden niet langer nodig zijn om Facebook-gebruikers te dienen. Ongeveer 22 ervan zijn opgezegd.

De brede toegang die Facebook de apparatenfabrikanten heeft geboden, roept vragen op over de naleving van de overeenkomst met de FTC uit 2011.

Onderzoek gestart

De overeenkomst verbood Facebook de privacy-instellingen van gebruikers te overrulen zonder eerst hun uitdrukkelijke toestemming te verkrijgen. Die overeenkomst vloeide voort uit een onderzoek waaruit bleek dat Facebook app-ontwikkelaars en andere derden toestemming had verleend persoonlijke gegevens over vrienden van gebruikers te verzamelen, zelfs als die vrienden hadden gevraagd dat hun informatie privé zou blijven.

Na de onthullingen rond Cambridge Analytica is de FTC een onderzoek gestart naar de vraag of het door Facebook blijven delen van gegevens ná 2011 in strijd was met de overeenkomst, waardoor het bedrijf mogelijk boetes opgelegd zouden kunnen worden.

Functionarissen van Facebook zeiden dat de private datakanalen niet in strijd waren met de overeenkomst, omdat het bedrijf zijn hardwarepartners als “serviceproviders beschouwde,” verwant aan een cloud computing service die wordt betaald om Facebook-gegevens op te slaan, of aan een bedrijf dat in de arm wordt genomen om creditcardtransacties te verwerken. Op grond van de overeenkomst hoeft Facebook geen aanvullende toestemming te vragen voor het delen van de gegevens van vrienden met serviceproviders.

“Deze contracten en samenwerkingsverbanden zijn volledig in overeenstemming met de overeenkomst tussen de FTC en Facebook,” aldus Archibong, de Facebook-functionaris.

Maar Jessica Rich, een vroegere FTC-ambtenaar die heeft geholpen bij het eerdere onderzoek van de FTC naar Facebook, is het oneens met deze opvatting.

“Op basis van de interpretatie van Facebook is de uitzondering de regel", aldus Rich, die nu werkt voor de Consumers Union. “Facebook kan beweren dat het delen van gegevens met derden altijd deel uitmaakt van de Facebook-ervaring. En dat is helemaal niet hoe het publiek hun bekendmaking uit 2014, dat de toegang van derden tot de gegevens van vrienden beperkt zou worden, heeft geïnterpreteerd."

Zo nam ‘The New York Times’ de proef op de som

Om de toegang van één partnerbedrijf tot de private gegevenskanalen van Facebook te testen, heeft The New York Times gebruikgemaakt van de Facebook-account van een verslaggever – met ongeveer 550 vrienden – en een BlackBerry-telefoon uit 2013, en bijgehouden welke gegevens dat apparaat opvroeg en ontving. (Recentere BlackBerry-telefoons, waarop Googles Android-besturingssysteem draait, maken niet van dezelfde private kanalen gebruik, aldus BlackBerry-functionarissen.)

Onmiddellijk nadat de verslaggever de telefoon met zijn Facebook-account had gekoppeld, werden enkele van zijn profielgegevens opgevraagd, waaronder zijn gebruikers-ID, naam, foto, informatie over hem, zijn locatie, e-mail- en gsm-nummer. De telefoon verzamelde vervolgens de privéberichten van de verslaggever en de reacties daarop, samen met de naam en de gebruikers-ID van elke persoon met wie hij communiceerde.

De gegevens stroomden naar een BlackBerry-app die bekend staat als de Hub, die was ontworpen om BlackBerry-gebruikers al hun berichten en socialemedia-accounts op één plek te laten bekijken.

De Hub vroeg ook gegevens op – en ontving ze – die het beleid van Facebook lijkt te verbieden. Facebook zegt dat apps sinds 2015 alleen de namen kunnen opvragen van vrienden die dezelfde app gebruiken. Maar de BlackBerry-app had toegang tot alle Facebook-vrienden van de verslaggever en bood over de meesten van hen allerlei informatie, zoals gebruikers-ID, verjaardag, werk en onderwijsgeschiedenis, en of ze op dat moment online waren.

De BlackBerry-telefoon was ook in staat om identificerende informatie op te halen van bijna 295.000 Facebook-gebruikers. De meesten daarvan waren “tweederangs” Facebook-vrienden van de verslaggever, of vrienden van vrienden.

Alles bij elkaar geeft Facebook BlackBerry-telefoons toegang tot meer dan vijftig soorten informatie over gebruikers en hun vrienden, zo bleek uit het onderzoek van The New York Times.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234