Telefoonboek-apps bewaren data 3 miljard mensen in database
Drie populaire telefoonboek-apps die gebruikers laten zien door wie ze worden gebeld en het mogelijk maken om spamberichten te blokkeren blijken de gegevens van 3 miljard mensen in openbaar doorzoekbare databases te hebben opgeslagen. Het gaat ook om gegevens van mensen die hier geen toestemming voor hebben gegeven, zo blijkt uit onderzoek van FactWire dat door de Hong Kong Free Press werd gepubliceerd.
Het betreft de apps Truecaller, Sync.ME en Cheetah Mobile Security. Na de installatie vragen alle drie de apps aan gebruikers om hun adresboek te mogen uploaden. Zodoende worden ook de gegevens van mensen verstuurd die de app niet geïnstalleerd hebben. De drie apps beschikken daardoor over een gigantische database van telefoonnummers. Truecaller claimt een database van 3 miljard telefoonnummers te hebben, terwijl Sync.ME de nummers en sociale netwerkprofielen van 1 miljard mensen heeft opgeslagen.
Deze gegevens zijn vervolgens voor iedereen toegankelijk. Als er een telefoonnummer in de app of via de bijbehorende website wordt opgegeven zal er in de database worden gezocht naar de bijbehorende naam. Ook namen van mensen die de app niet gebruiken worden vervolgens weergegeven. De apps fungeren zo als een omgekeerd telefoonboek. Op deze manier zijn ook de telefoonnummers van allerlei bekende politici en beroemdheden te vinden, zo meldt de BBC. In februari van dit jaar behandelde ict-jurist Arnoud Engelfriet deze omgekeerde telefoonboeken in de Juridische vraag op Security.nl.
"Omgekeerde telefoonboeken zijn in Nederland eigenlijk altijd illegaal. Voor opname in een officiële telefoongids geldt een wettelijke opt-outregeling, maar voor andere gidsen en ook voor omgekeerd zoeken geldt juist opt-in. Althans in theorie: in de praktijk vindt de OPTA/ACM het geen overtreding omdat het "op zich" niet zou worden ervaren als inbreuk op de persoonlijke levenssfeer, en in het buitenland er meer van zulke diensten zijn", aldus Engelfriet.
En daarmee is de toch al ongeloofwaardige discussie rondom het verplicht registreren van pre-paid een behoorlijk nutteloze geworden.
Men kon de identiteit toch al achterhalen als men wilde, wanneer de beller al reeds gebeld had met anderen.
Gelukkig was daar dan wel wat medewerking van een provider nodig die (uit eigenbelang) de verzoeken nog eens op privacy waarde bekijkt.
Nu de gegevens op straat liggen is er geen reden meer om nog wetgeving door te voeren.
Al vinden de belanghebbenden en surveillancefetisjisten natuurlijk van wel, einddoel is over alle data te kunnen beschikken voor het eigen goede doel.
Facebook heeft deze data en nog veel meer natuurlijk ook allang.
Alleen dat is alleen nog niet openbaar toegankelijk.
Dat moet toch een behoorlijk vette app zijn, of zie ik dat verkeerd?
Dat moet toch een behoorlijk vette app zijn, of zie ik dat verkeerd?
Techniek veranderd met de jaren getallen aanduidingen zijn minder relevant dan de echte basis.
Dat moet toch een behoorlijk vette app zijn, of zie ik dat verkeerd?
Ja, maar ergens moet er wel een app op een server draaien die deze database beheerd. Maar daarvoor heb je geen vette app nodig. Ook een klein programma kan een grote database raadplegen.
Dat moet toch een behoorlijk vette app zijn, of zie ik dat verkeerd?
Echter, ik ging ervan uit dat het lokaal opgeslagen is daar men beweert dat het 'zo makkelijk' is uit te lezen.
Bij een cloud oplossing had ik de veronderstelling dat dat uitlezen minder makkelijk zou zijn omdat je dan dus vele verzoeken moet gaan versturen en de kans groot, veel groter zou kunnen zijn dat er allerhande beveiliging actief is die je niet zou hebben bij een lokale database op een telefoontje.
Ergo, het beeld dat bij 'heel makkelijk' ontstond was het lokaal uitlezen van een database in plaats van 3 miljard verzoeken sturen naar een cloud database.
Toch ook weer niet een heel vreemde aanname gedachtengang?
Snappie vollegie?
x)
Snappie vollegie? x)
Als je dat zo kan bedenken waarom zou het dan niet gebeuren.
Ik volg die mensen niet die in strakke opgelegde patronen zitten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
