08/31/2024 | News release | Distributed by Public on 08/31/2024 06:11
Datingapps zijn niet meer weg te denken uit het leven van wie op zoek is naar een date of partner. Bij het aanmaken van een profiel geven gebruikers heel wat persoonlijke data mee, die ze gaan delen met, op dat moment, onbekenden. Bovendien geven de apps vaak ook een indicatie van je locatie of afstand tot je potentiële match. Sommige gegevens deel je bewust. Maar andere data deel je onbewust, want ze zijn voor iemand met slechte bedoelingen en wat informaticakennis vaak (te) makkelijk zichtbaar te maken. Onderzoekers van de DistriNet-onderzoeksgroep aan KU Leuven onderzochten de 15 populairste locatiegebaseerde datingapps (LBD). Ze ontdekten verschillende veiligheidsrisico's, waaronder het lekken van gevoelige data en exacte locaties van gebruikers. Ze legden hun bevindingen voor aan de app-makers en de meesten deden intussen aanpassingen om hun gebruikers beter te beschermen.
Locatiegebaseerde datingapps (LBD) laten gebruikers toe om nieuwe mensen te leren kennen in de buurt. Ze kunnen door profielen scrollen of swipen, en op basis van de persoonlijke gegevens die de ander meegeeft, bepalen of ze elkaar beter willen leren kennen. Gebruikers delen heel wat persoonlijke en gevoelige data met de apps, om het algoritme een zo goed mogelijke match te laten voorstellen. Maar hoe veilig zijn je persoonlijke data? En ben je je altijd goed bewust van wat je deelt met anderen?
De persoonlijke en gevoelige gegevens die we met eenvoudige middelen konden blootleggen zijn van goudwaarde voor mensen met slechte bedoelingen.
Victor Le Pochat, computerwetenschapper KU Leuven
De onderzoekers van KU Leuven selecteerden de 15 meest gedownloade LBD apps uit de Google Play Store en gingen op onderzoek. We hebben het dan over bekende apps als Tinder, Badoo, Grindr, Bumble,… Ze analyseerden de gegevens die je als gebruiker deelt op basis van drie categorieën: persoonlijke data (naam, leeftijd, nationaliteit, telefoonnummer, woonplaats,…), gevoelige data (politieke voorkeur, religie, alcoholgebruik, seksuele geaardheid,…) en tenslotte ook gebruiksdata (moment van laatste gebruik, of je geliked bent, welk type relatie je zoekt,…)
Een aantal van die gegevens zijn zichtbaar in de apps, soms zelfs verplicht, en van andere bepaal je zelf of je ze zichtbaar maakt of zouden ze altijd onzichtbaar moeten blijven. Gebruikers worden verondersteld te weten dat ze deze gegevens delen. Maar de apps zijn natuurlijk verbonden met het internet, en in dat internetverkeer worden veel meer data gedeeld dan een gewone gebruiker vermoedt.
"We zijn dat internetverkeer van de apps nauwgezet gaan onderzoeken", vertelt onderzoeker Karel Dhondt. "We maakten in eerste instantie de data zichtbaar die de apps van de servers krijgen over andere gebruikers, iets wat voor iemand met wat computerkennis helemaal niet zo moeilijk is. In een tweede fase pasten we dat dataverkeer ook actief aan om te kijken of het nog extra gegevens wou prijsgeven. We zijn hiervoor zorgvuldig te werk gegaan: we hebben enkel de ingebouwde functies van de apps gebruikt, dus we hebben de servers niet gehackt, en we hebben enkel met onze zelf-aangemaakte profielen gewerkt, zodat we geen gegevens van echte gebruikers zagen."
De resultaten van het onderzoek waren duidelijk: alle apps lekten persoonlijke en gevoelige data over andere gebruikers.
"De risico's zijn duidelijk", zegt onderzoeker Victor Le Pochat. "De persoonlijke en gevoelige gegevens die we met eenvoudige middelen konden blootleggen zijn van goudwaarde voor mensen met slechte bedoelingen, die zowel bekenden bij jou in de buurt als volslagen onbekenden kunnen zijn. Het vrijgeven van persoonlijke data maakt gebruikers kwetsbaar voor online manipulatie via phishing of identiteitsdiefstal. Als je dat combineert met gevoelige data zoals seksuele oriëntatie en iemands locatie, kan dat leiden tot fysiek gevaar, zoals stalking of aanranding, of zelfs vervolging door de overheid, zoals al in Egypte is gebeurd bij LGBTQ-gebruikers."
De privacy policies die gebruikers moeten aanvaarden, informeren gebruikers ook onvoldoende over deze risico's en leggen de verantwoordelijkheid bij de gebruikers, stelden de onderzoekers vast. Ze pleiten er ook voor dat de apps standaard alle profielgegevens verbergen, zodat gebruikers heel bewust moeten kiezen wat ze zichtbaar maken. Ze deelden de resultaten van hun onderzoek intussen met de app-makers en de meesten deden snel de nodige aanpassingen om deze lekken te dichten, waaronder ook de lekken van exacte gebruikerslocaties.
Ook al deden de meeste apps intussen de nodige aanpassingen, dit onderzoek toont nog maar eens aan dat je maar beter voorzichtig en heel bewust moet omspringen met je persoonlijke en gevoelige data. De onderzoekers geven drie tips mee: