Vrijdag 18/09/2020

Privacy

Te koop: gsm-nummers van LinkedIn-gebruikers

De internetapplicatie Lusha verkoopt gsm-nummers via LinkedIn-profielenBeeld Unsplash

Van ondernemers tot muzikanten en politici. De onlinedienst Lusha lekt tegen betaling gsm-nummers van iedereen. En dat allemaal via de socialenetwerksite LinkedIn. ‘We zouden dit op Europees niveau moeten aanpakken.’

“Godverdomme zeg. Ik ben meestal niet te beroerd om mijn mening te geven als media daarom vragen, maar nu zou ik toch liever hebben dat je mij niet bij naam noemt.” Zo reageerde een bekende muzikant toen De Morgen hem vertelde hoe we zijn gsm-nummer te pakken hadden gekregen. “Wat blijft er straks nog van onze privacy over?”

Slimme zoekopdrachten in Google of gewiekste hackingpraktijken kwamen er niet aan te pas. Het enige wat we moesten doen om het telefoonnummer van de muzikant in kwestie te pakken te krijgen, was de Chrome-extensie (applicatie in de Chrome-browser) Lusha installeren. Die belooft contactinformatie ‘at your fingertips’. Voor een bedrag van 39 dollar per maand (iets meer dan 33 euro) kunnen gebruikers van Lusha vijftig contactpersonen opzoeken.

Afhankelijk van de gegevens die beschikbaar zijn, toont Lusha, bij het openklikken van een LinkedIn-profiel, extra informatie: professionele en private e-mailadressen, telefoonnummers van een vaste lijn en een of meerdere gsm-nummers. De Morgen contacteerde 20 bekende Belgen, onder wie topondernemers, muzikanten en politici, op basis van de contactinformatie die we via Lusha verzamelden. Bij 13 van hen bleek het gsm-nummer te kloppen. “Mijn gsm-nummer is sowieso wijdverspreid en ik vind het belangrijk om bereikbaar te zijn”, zegt een lid van de federale regering, “maar ik heb dat nummer nooit of te nimmer aan sociale media gelinkt.”

Niet koosjer

Hoe komt dat gsm-nummer dan via Lusha op LinkedIn terecht? Volgens het Amerikaans-Israëlisch bedrijf, dat naar eigen zeggen Amazon, Google en Apple als klant heeft, gaat het om professionele data die internetgebruikers vrijwillig hebben vrijgeven op het internet. Het bedrijf gebruikt publiek beschikbare databanken en algoritmes om contactgegevens up-to-date te houden. Ethische hacker Inti De Ceukelaire wijst erop dat alles minder koosjer verloopt dan het bedrijf laat uitschijnen. Zo blijkt uit onderzoek van een aantal ethische hackers dat de data die Lusha gebruikt onder andere verzameld worden via smartphone-apps die toegang hebben tot de telefoonboek van smartphonegebruikers. Die verzamelde gegevens worden zonder hun medeweten gedeeld met Lusha.

Lusha, dat niet reageerde op vragen van De Morgen, beweert op zijn website dat het op geen enkele manier de privacywetgeving schendt. Magali Feys, advocate bij AContrario en gespecialiseerd in privacy, ziet dat toch anders. “Als je geen toestemming hebt om gegevens van personen te gebruiken kan dat soms wel als je een gerechtvaardigd belang kan aantonen, zoals Lusha beweert”, zegt Feys. Maar dat is hier ver te zoeken.  “Als je die rechtvaardigheidsgrond inroept, moet je onder andere kunnen aantonen dat de voordelen die Lusha hier uithaalt niet substantieel groter zijn dan de nadelen voor de persoon van wie de gegevens verzameld worden.” Dat is in deze niet het geval: gebruikers van LinkedIn weten niet eens dat hun profiel als toegangspoort tot extra gegevens gebruikt wordt, laat staan dat ze weten waar Lusha die gegevens haalde. “Bovendien pakken ze op hun data-pagina uit dat iedereen aan Lusha kan laten weten dat zijn of haar gegevens verwijderd moeten worden, maar niemand weet dat ze er überhaupt zijn.”

De Gegevensbeschermingsautoriteit (GBA) bevestigt dat er al enkele klachten binnenliepen over de applicatie. Philippe De Backer (Open Vld), federaal minister voor privacy, raadt burgers aan dit zeker te blijven doen als ze opgebeld worden door mensen die Lusha gebruikten om hen te contacteren. “Ik pleit er al langer voor dat we dit soort malafide spelers op Europees niveau aanpakken, in plaats van 27 GBA’s die dezelfde oefening maken”, zegt De Backer.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234