Judith Duportail, een journaliste van The Guardian, vroeg Tinder om haar alle informatie te sturen die de applicatie over haar had verzameld sinds het aanmaken van haar account (dat ze op dat moment al vier jaar in bezit had)*. Ze ontving een rapport van 800 pagina's met "links naar de locatie van [haar] Instagram-foto's, [haar] opleidingsniveau, de leeftijd van mannen waarin ze geïnteresseerd was, het aantal Facebook-vrienden dat ze had," evenals "de datum en locatie van elk online gesprek met elk van [haar] matches.
Alessandro Acquisti, hoogleraar informatietechnologie aan de Carnegie Mellon University, die meewerkte aan het onderzoek van Judith Duportail, schrijft: "Tinder weet veel over je als het je gebruikersgedrag bestudeert. Het weet hoe vaak je inlogt en wanneer; welk percentage blanke mannen, zwarte mannen, Aziatische mannen je hebt gekozen; welke soorten mensen in je geïnteresseerd zijn; welke woorden je het meest gebruikt; hoeveel tijd mensen in je foto steken voordat ze je kiezen, enz." Hij voegt eraan toe: "Tinder weet veel meer over je als het je gedrag op de app bestudeert. Persoonlijke gegevens zijn de motor van de economie. Consumentengegevens worden uitgewisseld en onderhandeld voor reclamedoeleinden."
Het idee is hier niet om Tinder te bekritiseren, maar om ons punt te illustreren: dating applicaties slaan enorme hoeveelheden persoonlijke gegevens op en verzenden deze. En deze gegevens zijn bijzonder interessant voor cybercriminelen...
Daarom hebben wij onze studie gericht op de bekendste applicaties op de markt: Tinder, Happn, Meetic en Grindr.
De doelen en modus operandi van cybercriminelen die zich richten op dating apps kunnen worden ingedeeld in drie categorieën.
De foto's van een gebruiker, zijn leeftijd, zijn locatie, zijn voornaam (en eventueel zijn achternaam)... zijn de gegevens die cybercriminelen proberen te bemachtigen.
Met welk doel? Al het werk van een aanvaller is gebaseerd op het verkrijgen van informatie. Hij moet de voorkeuren van zijn doelwit kennen, zoals intieme details van diens leven (de naam van zijn huisdier, bijvoorbeeld). Met deze informatie vergroot hij zijn kansen aanzienlijk om een mailbox, een Facebook-account of een ander medium met nog interessantere informatie te bemachtigen.
Zodra de cybercrimineel deze informatie heeft, kan hij besluiten deze door te verkopen aan de hoogste bieder of wachtwoord woordenboeken aan te leggen. Dit zijn lijsten met potentiële wachtwoorden, die bijvoorbeeld de naam van het huisdier combineren met een afdelingsnummer.
Volgens een studie van Cyclonis komt het hergebruik van een wachtwoord bovendien vaak voor. Als een account eenmaal is gehackt, is het infiltreren van andere accounts slechts een kwestie van tijd en variaties (een getal in plaats van een ander, een speciaal teken in plaats van een ander, enz.)
Er bestaan inderdaad technische aanvallen waarmee cybercriminelen gegevens kunnen stelen. Deze aanvallen vergen weinig investering, maar leveren ook relatief weinig op... Ter vergelijking: met de techniek die bekend staat als "gevoelsscam" kunnen geldbedragen van meer dan tienduizenden euro's worden verkregen.
Het doel van een gevoelsscam is een persoon lang genoeg te verleiden om een vertrouwensband te creëren. Zodra deze band is opgebouwd, zal de kwaadwillende om de een of andere reden (familiedrama, hulp voor een vereniging, enz.) grote sommen geld vragen. Zodra het gewenste bedrag is verkregen, verdwijnt de persoon.
Deze vorm van oplichting is gericht op mensen die over het algemeen een slechte computerhygiëne hebben en soms geen perspectief hebben op wat al dan niet wel of niet waar is op het internet.
Cybercriminelen kunnen gemotiveerd worden door een ethische of politieke zaak en datingsites gebruiken om druk uit te oefenen of een schandaal te veroorzaken. Neem bijvoorbeeld het datalek van de site Ashley Madison in 2015. Dit had een directe gevolgen voor bekende personen uit de amerikaanse politiek.
Soms zijn het persoonlijke vendetta's: gestolen gesprekken uit datingapplicaties kunnen naar collega's of werkgevers worden gestuurd... reputatie en banen staan op het spel.
De apps proberen de veiligheid van de gebruikersgegevens te garanderen en tegelijkertijd zo efficiënt mogelijk te blijven in hun missie: het bevorderen van romantische ontmoetingen.
Geüploade afbeeldingen worden "geanonimiseerd", wat betekent dat een cybercrimineel die niet op een site is geregistreerd, niet kan worden getraceerd naar een account met alleen een foto die hij zou hebben opgehaald. Ook worden de afbeeldingen opgeslagen als een tekenreeks waardoor een aanvaller ze niet direct kan opvragen.
Tijdens het uitvoeren van diverse tests realiseerden wij dat het mogelijk was alle profielen, foto's, biografieën en de namen en geboortedata (die geacht worden privé te blijven) van alle profielen op te vragen, mits een account op een applicatie werd aangemaakt. Zodra deze informatie was opgevraagd, was het mogelijk om 70% van de Instagram- en Facebook-profielen van de personen te achterhalen.
De gebruikte technieken zijn zo standaard en eenvoudig (we zullen ze hier niet uitleggen om niemand in de verleiding te brengen), dat het voor kwaadwillenden gemakkelijk is om op de een of andere manier dichter bij hun slachtoffer te komen.
Met een paar basismaatregelen voor veiligheidshygiëne is het makkelijk om de veiligheid van gegevens (althans tot op zekere hoogte) te garanderen en met een gerust hart verder te zoeken naar je zielsverwant.
Wij bieden je een kleine gids aan in de vorm van een tabel. Om hem te gebruiken: stel de vraag links en kijk of het bijbehorende antwoord dicht bij jouw situatie ligt. Als het er erg ver vanaf ligt, probeer dan zo dicht mogelijk bij ons antwoord te komen!