Dat 'gegevens nergens opgeslagen'... Daar geloof ik dan weer geen moer van. Er ligt vast nog wel ergens een 'vergeten backup'. Of het is zoiets als met geluidsopnamen van het OMT.

Smartphone- en OS-makers
Wat Google via Android, smartphonemakers waaronder Apple en Huawei en eventuele malware-makers aan extra gegevens hebben verzameld van gebruikers die CoronaMelder hebben geïnstalleerd, weet ik niet. Maar dat geldt voor elke app op je smartphone.

Via BLE verzonden data
Ook weet ik niet wie er allemaal namens CoronaMelder via BLE (Bluetooth Low Energy) verzonden identifiers plus aanvullende gegevens (waaronder MAC-adressen) hebben opgevangen en opgeslagen met andere bedoelingen dan een ontvangende CoronaMelder app op een andere smartphone heeft. Maar zolang je zelf geen "waarschuwingsmeldingen" uploadt na positief te zijn gestest door de GGD, heeft die ontvanger niet zoveel aan die, via BLE verzonden, gegevens. Die zijn namelijk grotendeels versleuteld, terwijl de "waarschuwingsmelding" de decryptiesleutel bevat (de TEK oftewel Temporary Encryption Key).

Verzameld door de overheid
Wat de overheid zou kunnen verzamelen van (nog-) niet-uploaders zijn IP-adressen en mogelijk meegestuurde gegevens, elkekeer als CoronaMelder op de server navraagt of er nieuwe uploads (en configuratiewijzigingen) beschikbaar zijn. Maar hiervan hebben de ontwikkelaars en de overheid steeds gezegd dat serverlogs met IP-adressen kort worden bewaard en dat er geen andere gegevens zouden worden verzameld. Persoonlijk vermoed ik dat zij de waarheid spraken.

Verzameld door makers van libraries en compilers
Verder kun je nooit helemaal uitsluiten dat CoronaMelder gebouwd is met libraries die gegevens met de makers van die libraries uitwisselen, maar ook dat geldt voor andere apps.

TEK-files op publiek toegankelijke servers
Daarnaast is er sprake van openbare "waarschuwingsmeldingen" (met o.a. TEK's) die door een deel van de positief geteste app-gebruikers zijn geüpload. Om die te kunnen downloaden moet je de "bestandsnaam" kennen (bijv. "aef4e3b8fc7e46d7a5130f49147dfd61"). Tot vanochtend kon je de laatste 140 van die bestandsnamen vinden in een zogenaamde "manifest" file (https://productie.coronamelder-dist.nl/v3/manifest). Als je die URL opent wordt "manifest.zip" gedownload met daarin "content.bin" (een teksbestand) en "content.sig" (een digitale handtekening).

Sinds vanochtend ontbreken de 140 [*] "bestandsnamen" in gedownloade manifest files (om precies te zijn in de subfile in "content.bin"; er staan nog wel een drietal verwijzingen naar o.a. configuratiegegevens in).

In elk geval één van de laatste files met TEK's ("aef4e3b8fc7e46d7a5130f49147dfd61", met TEK's tot vanochtend ca. 7 uur) kon ik zojuist nog wel downloaden, maar Nederlandse TEK's daarin zijn waarschijnlijk ook gedeeld met andere Europese landen (waar zij nog op servers beschikbaar zijn; nb. dat bestand bevat waarschijnlijk ook TEK's uit andere Europese landen). TEK-records bevatten overigens geen land-identifier, je kunt dus niet eenvoudig vaststellen uit welk land een TEK afkomstig is.

Als test heb ik geprobeerd een TEK-file van ruim 2 weken geleden te downloaden (3 april ca. 13:00) van de Nederlandse server, maar dat lukte niet. Kennelijk worden files ouder dan 2 weken verwijderd.

TEK-files verzameld door onderzoekers
Ten slotte zijn er onderzoekers die TEK-files verzamelen (sinds kort ik, maar anderen doen dat al veel langer, zoals Prof. Doug Leith en Dr. Stephen Farrell van het Trinity College Dublin: https://down.dsg.cs.tcd.ie/tact/. Data van veel landen vind je onderin https://down.dsg.cs.tcd.ie/tact/tek-counts/). Maar nogmaals, aan uitsluitend TEK-files heb je niet zoveel - als je op zoek bent naar privacy-gevoelige informatie.

Privacy is niet het probleem van apps als CoronaMelder
Hét probleem met CoronaMelder is echter niet een privacy-risico, maar dat deze app averechts werkt doordat de positieve effecten (besmette mensen waarschuwen zodat zij in zelfisolatie gaan voordat zij besmettelijk worden) verwaarloosbaar zijn, terwijl de negatieve effecten (denken dat je niet besmet kunt zijn zolang CoronaMelder je niet waarschuwt) allesbehalve verwaarloosbaar zijn (zoals vastgesteld door de Tilburg university in opdracht van VWS, zie (PDF) https://github.com/minvws/nl-covid19-notification-app-website/raw/8809a1d597b7e93d7c7b3249f44fb86c6e7a61ed/media/Rapportage_Evaluatie_CoronaMelder_TilburgUniversity_LISSpanel_Wave_v1.pdf).

Zie ook mijn uitgebreide post van afgelopen woensdag hierover in https://security.nl/posting/750895.

[*] P.S. voor geïnteresseerden: de reden dat er 140 files voor 14 dagen waren, is dat Nederland 10 files per dag gepubliceerde: elke 2 uur behalve omstreeks 01:00 en 03:00. In elk geval België en Duitsland publiceren zowel "uurfiles" als "dagfiles" op hun servers. Ik zie zeer opmerkelijke zaken in de TEK-files die ik bekeken heb, daarover mogelijk een andere keer meer.

Is er werkelijk iemand die dat geloofd?

Wat je digitaal verspreidt blijft altijd ergens. Het verdwijnt nooit. Daarom moet je al nooit iets delen met het Internet, dat je niet met anderen wenst te delen. Ach, de overheid, wie in vredesnaam gelooft haar nog, noch haar dienaren?

Het is een tool geweest die noodzakelijk was - en het kan mogelijks opnieuw bij heropflakkering in het najaar ingevoerd moeten worden. Dat is terecht de achterliggende gedachte.
U kan terecht de overheid wantrouwen - nu als de overheid u bedriegt - en u kan dat bewijzen dan is daar de schitterend GDPR. En dan gaat de overheid het geweten hebben.
De overheden hebben tijdens de uitbraken ook geanonymiseerde telco-data gebruikt om te meten of iemand thuis zat of op verplaatsing. Meten is weten.

Bij de Derde Wereldoorlog verdwijnt echt ALLES. Op de vraag aan Einstein met welke wapens ze dan zouden knokken, zei hij: "welke wapens weet ik niet, maar in de VIERDE WERELDOORLOG weet ik dat wel: vuistbijlen en stenen zullen ze dan gebruiken!"

Even lachen waar!
Er zit ontzettend veel van GOOGLE in gebakken, en ja daarom gaat alles rechtstreeks naar servers van GOOGLE.
GOOGLE weet alles over ons en zet dat in de etalage en verkoop die gegevens.