maandag 9 oktober 2023

Lekke websites

Er zijn weer bestwel veel mensen geweest die willen dat ik reageer op het lek bij Redlights dat in het nieuws kwam. Er zijn weer massa's gegevens van sekswerkers en hun klanten gelekt. Vanwege mijn eerdere stukjes vinden mensen weer dat zoiets in mijn straatje past om daar wat over te schrijven, of om over te orakelen wat je ermee moet dat het gebeurd is. Alweer. En op dezelfde manieren die eerder ookal het probleem waren.

Eerst wou ik niet, ik heb er al genoeg over gezeurd, en echt nieuws is het niet. Niet alleen omdat het weer hetzelfde verhaal is, zoals we bijvoorbeeld al bij Hookers, bij Kinky en bij de GGD eerder hebben meegemaakt, maar ook omdat het echte lek al lang geleden gebeurd is, en de website nu pas met het verhaal over de brug komt omdat de onderhandelingen met de data-dief zijn stukgelopen. Dus dat het lek nu openbaar wordt.

Wees nou gewoon voorzichtig met je gegevens. En vertrouw die sites gewoon niet. Het is lastig dat de markt zo gecentraliseerd is geraakt, daar schreef ik hier al eerder over, maar je gaat gewoon voor de bijl als je die sites vertrouwt. Want ze doen het niet goed, ze gaan het ook nooit beter doen, want ze wìllen het ook niet beter doen, want ze hebben goede rédenen om het niet beter te doen.

Alle marktplaatsen als Kinky en Redlights eisen tegenwoordig massa's gegevens van je, vooral als je sekswerker bent die wil adverteren. Bij Kinky moet je zelfs met scans van je paspoort en hoge kwaliteit portretfoto's aankomen. Waar je je pensioenpot verstopt en op welke dagopvang je kind zit hoeft er nog niet bij, maar dat is ook zo'n beetje het enige dat ze niet vragen.

Dat is voor een deel data-honger, maar dat is niet het belangrijkste. Het belangrijkste is dat de sites de hele tijd door Justitie worden aangehijgd dat ze mede-verantwoordelijk zijn voor misstanden en mensenhandel als ze niet genoeg "meewerken" met politieverzoeken om gegevens. Die willen kunnen sleepnetten door een netjes naslagwerk waar iedereen in staat die ze lastig willen vallen om hun leven te verzieken. Doen die sites dat niet, dan worden ze als medeplichtig aan mensenhandelpraktijken behandeld.

Op die manier is het dus belangrijk voor die sites om van alle gebruikers zoveel mogelijk gevoelige informatie te verzamelen. En die informatie moet voor de politie leesbaar zijn, dus dat moet terug te halen zijn. De sleutels van de encryptie, als die al gebruikt wordt, liggen voor de politie klaar. En de sites verzamelen alle gegevens waarvan ze dènken dat Justitie erom zou kùnnen gaan vragen.

Tegelijkertijd is er ook weinig motivatie om de boel goed te beveiligen. Ja, de belangen van de gebruikers zijn groot, en de gevolgen van zo'n lek kunnen tot persoonlijke tragedies leiden, maar die sites geven geen fuck om het lot van hun gebruikers. Die gebruikers zijn er om gebruikt te worden. En de site-eigenaren weten verdomd goed dat bijna niemand ze zal aanklagen als ze door zo'n lek benadeeld worden, en dat wie wel zijn recht wil halen, dat niet krijgt van een rechter die dat stiekem wel het verdiende loon van zo'n sekswerker of klant vindt.

Het kàn anders. Er zijn bestwel veel sites die hun beveiliging op orde hebben. Het beste voorbeeld is de banken, die al sinds tientallen jaren robuuste digitale systemen gebruiken om soepel transakties te verrichten waar grote belangen op het spel staan. Die lekken toch we héél veel minder, en daar zit ook veel kennis over hoe je voorkomt dat er mensen van buiten òf van binnen gaan kloten met je gegevens.

Ik zeg niet dat iedereen dan de bankensoftware moet gaan gebruiken, of software die even goed gemaakt is. Dat is wel heel veel op je schouders nemen, terwijl je met veel minder toe kan. Het laat alleen wèl zien, dat het kàn. En als je de kranten leest, lijkt het soms alsof het onvermijdelijk is dat een hacker je gegevens komt stelen als hij er zijn zinnen op gezet heeft.

Dat is niet zo. Ik heb het me geduldig uit laten leggen door mijn experts uit mijn hulpploegje, ik ga niet doen alsof ik dat zelf allemaal uitgezocht heb. Of zelfs maar dat ik het allemaal begrijp. Maar een paar dingen zijn duidelijk genoeg, en die zijn dat wat je niet aan gegevens verzamelt ook niet gelekt kan worden, en dat hackers alleen vrij spel hebben als jij je beveiliging niet op peil houdt.

Er zijn nog veel meer dingen waar je over kan gaan praten, zoals security by design, waar je dus inbakt in je software en in hoe je data opslaat, of juist niet opslaat, dat je software en je data gewoon ongeschìkt zijn voor misbruik, en zuinig omgaan met wie er bij de overgebleven nodige gegevens kan door het goed te versleutelen, en die sleutels goed te bewaren. Want daar ontbreekt het vaak aan. Daar bestaan al best veel oplossingen voor, maar die moet je dan wel gebruiken.

Maar ja, we hebben dus websites die nooit verantwoordelijk gaan worden gehouden voor al dat gelek, we hebben een overheid die ze gebruikt als achterdeurtje om gegevens te pakken te krijgen die ze wettelijk niet zomaar zelf mogen inzamelen, we hebben een gecentraliseerde markt waarbuiten je aan de kruimels bent overgeleverd, dus daar gaat niets aan veranderen. De mensen die kunnen besluiten om te veranderen hebben geen reden om dat te willen. Dus moeten wij ermee leven.

Dus hoe doe je dat, ermee leven? Nou, vooral door altijd te bedenken dat wàt je ook doet op die websites, terechtkomt bij mensen die er slechte bedoelingen mee hebben. De politie die iemand aan de schandpaal willen hebben, Justitie die jou willen gebruiken om de seksindustrie mee te bestrijden, de bedrijven achter de websites die jou willen gebruiken als onderhandelingskadootje, en datadieven die je gegevens op straat willen gooien als drukmiddel.

Je gegevens bij de politie hebben liggen is al een probleem, maar openbaar worden is nòg een andere beerput. Ten eerste vanwege dezelfde redenen als je gegevens op straat hebben liggen bij elke website: het maakt het veel makkelijker om je identiteit te stelen. Als je iemands gegevens hebt, kun je je makkelijk voordoen als die persoon. Vooral nu telefoon-spoofing steeds makkelijker wordt, terwijl bedrijven je telefoon steeds meer als een superveilige authenticatie behandelen.

Onderdeel zijn van een gediscrimineerde groep mensen, of dat nou hoeren of klanten zijn, is geen probleem als niemand weet dat jij bij die groep hoort. Dan weten ze immers niet dat ze lullig tegen je moeten doen. Als je gegevens lekken, kan dat opeens wèl zo worden. En dan zit je er opeens mee dat je die volgende mooie kans op een baan misloopt, of dat er een bedrijf geen zaken met je wil doen. Of gewoon hondenpoep door je brievenbus komt.

Chantage is ook een probleem. Er zijn bestwel wat smeerlappen die proberen om je gegevens te pakken te krijgen om te kunnen dreigen dat ze je moeder gaan vertellen dat je hoert, of je vrouw dat je op hoerensites rondhangt. Als die elektronisch bewijs hebben, staan ze veel sterker, en dat weten ze ook. Die klootzakken kan je bij de politie aangeven, maar zodra je duidelijk maakt dat je niet komt om een pooier aan te geven, verliezen die alle interesse.

De mensen die je willen chanteren willen meestal geld. En soms gratis seks. Betalen heeft weinig zin, want als je één keer hebt betaald, weten ze dat ze het kunstje weer opnieuw kunnen doen. En dat blijven ze doen totdat jij ermee kapt. Dan had je dus beter kunnen kappen vóórdat je ze geld had gegeven. Helaas is die gedachte net te nuchter voor iemand die in paniek is omdat ze wordt gechanteerd.

Veel zeldzamer, maar nog steeds een gevaar dat afentoe tevoorschijn komt, zijn vigilantes die eigen rechtertje gaan spelen, en die stoute klanten en die vieze hoeren gaan treiteren. Vooral vanuit de schaduwen, door te doen wat de chantage-smeerlappen dreigen. Die gaat het er niet om dat je ze geld of seks geeft, die willen dat je ellende hebt, omdat ze je willen straffen.

Meer algemeen, kijkend naar de toekomst, wil je ook helemaal niet dat je gegevens ergens vaststaan. In het begin van het internet waren er heel veel mensen die vrij spraken in forums en in chatgroepen, gewoon onder hun eigen naam. Die hebben daar nu vaak spijt van, want het wordt allemaal bewaard en door machines doorzocht, en die uitspraken uit hun tienerjaren worden nu tegen ze gebruikt.

In China heb je Social Credit, een soort score waarmee de overheid bijhoudt hoe blij ze met je zijn. En hoe blijer ze met je zijn, hoe meer kansen je in het leven mag hebben. Dat is in Nederland nog niet aan de hand. Daar spreken we nog schande van. Maar als je kijkt naar de bewegingen van de afgelopen dertig jaar, zie je dat we zoetjesaan afdrijven naar zo'n samenleving. En wat doet een registratie op een hoerensite dan met je score?

Grote datalekken hebben ook andere gevolgen gehad in het verleden, die maar heel weinig mensen zagen aankomen. Een groot datalek bij Sony bijvoorbeeld, zorgde ervoor dat hackers tabellen konden opwerken die heel gericht en veel effektiever inloggegevens konden kraken. Data gaat nooit alleen om de data, data maakt ook nieuwe data als je er genoeg van kunt analyseren. En we weten per definitie nog niet hoe dat met dit soort data gaat aflopen.

Hou je data bij je. Maak liever geen account aan. Misschien wil je wel helemaal geen spoor achterlaten, en log je in via TOR op Tails. Misschien vul je liefst totale bullshit in over jezelf. Misschien helpt dat. Maar reken maar dat wat ze ècht van je willen hebben, moet worden ingevuld omdat je anders geen toegang krijgt tot waar je voor komt. En dus is eigenlijk het beste om je heil elders te zoeken. Wees zuinig op je gegevens.

Dus wat moet je met zo'n nieuwsbericht, behalve zuinig zijn op je gegevens? Ervan leren, dat dit wéér gebeurt. Dit zijn geen incidenten. Dit blijft komen, en het houdt niet op. En als de WRS erdoor komt, zijn er wéér meer databanken waar misbruik van gemaakt kan worden, door datadieven van buiten of gewoon door de overheid zelf. Het hele ding lijkt ontworpen te zijn voor misbruik, abuse by design. Dus verzet je ertegen. En hou je gegevens erbuiten.

9 opmerkingen:

  1. Eén ding mis ik dan nog: hoe kan je in de 21e eeuw aanbieders van diensten vinden of diensten aanbieden zonder de populaire platforms te gebruiken?

    De idealist in mij zegt dat we dan maar zelf een platform moeten maken dat wel een prioriteit maakt van privacy. De realist in mij denkt dan aan een quote van een Google woordvoerder die het nieuws heeft gehaald: "mensen vinden het niet erg dat we hun privacy schenden, want ze gebruiken nog steeds onder diensten."

    Voorlopig blijf ik gewoon gebruik maken zonder account en bidden dat mijn ISP zijn IP-logs opschoont zodra het kan/mag.

    BeantwoordenVerwijderen
  2. Ik vind dit niet gijl schrijf es wat gijls

    BeantwoordenVerwijderen
  3. Zondares, hoe komt u aan klanten als u de web-sites niet gebruikt?

    Advertenties in een krant (accepteren kranten advertenties voor prostitutie?)?

    Of gebruikt u een platform dat niet al te veel gegevens van u vraagt?

    BeantwoordenVerwijderen
  4. Een totaal verbod op sekswerk met handhaving en strenge straffen lijkt mijnde enigste oplossing.

    BeantwoordenVerwijderen
  5. Waarom ga je niet gewoon op onlyfans, lekker cashen zonder risisco

    BeantwoordenVerwijderen
  6. Dank je voor je bijdrage, heel prettig om te lezen.

    Wel inhoudelijk wat rommel. Vanuit Justitie (of het nou het Ministerie van Justitie en Veiligheid, de politie of het OM is) kan er hoog of laag gesprongen worden, maar de websites doen niet meer of minder. Ze leveren op vordering in lopende zaken de gevraagde data, maar niet meer. Van daaruit voelen ze geen druk om meer te verzamelen. Sommige sites vragen inderdaad aardig wat informatie (denk aan Kinky), maar dat doen ze niet vanwege mogelijke uitbuiting (dan zouden ze veel scherper aan de voordeur moeten controleren), maar om aansprakelijkheid bij oplichtings- en afpersingszaken van klanten op hun site af te wenden. Want DAN gaan alle registers open en delen ze god en de ganse wereld vrijwillig met de politie.

    Het probleem is dat deze bedrijven werkelijk vreselijk slecht met de data en de dataveiligheid omgaan. De enige drijfveer van de websites is geld verdienen. De veiligheid van de sekswerkers, de of seksueel uitgebuiten is hun werkelijk om het even. Als klanten wegblijven of negatief worden gaan ze wat bewegen, want dat kost geld.

    Ik heb vanuit mijn vorig werk veel met alle opsporingsinstanties gewerkt en bij een groot aantal seksadvertentiewebsites contact gehad en een kijk in de keuken mogen hebben.

    Als je eens een keer écht wilt doorpakken op dit punt, moeten meerdere adverteerder op een aantal websites eens al hun data op gaan vragen en de veiligheidsvoorzieningen van die sites door moeten lichten. En dan doorpakken ne naar de Autoriteit Persoonsgegevens stappen. Ik weet wel een organisatie uit onverwachte hoek die dan mee wil denken.

    BeantwoordenVerwijderen
  7. wat denk je van al die prostituees met ‘6 cams’ op hun mobieltje? Wil je daar eens overschrijven? Ik sekste een keer met een prostituee terwijl een andere - die 20 minuten van de 60 minuten mee-trioodde] daarna nog met een mobieltje tussen onze benen zat omdat ze te lui was om naar haar eigen room te gaan … “ik zit alleen te candycrushen hoor”… zei ze … toen ik wat licht bezorgd achterom keek. Oké, da da, i belief you bitch.😉

    Candycrush … het is een paar jaar geleden hoor dat het gebeurde … .

    Camera’s, camera’s, camera’s ….. kijk ook maar eens naar boven bij de straat-wc bij doubletstraat …. slik🥳😅🤔.

    Dank u overheid…. ik ga zelfs dáár gratis plassen als ik alleen maar ga winkelen in den haag … scheelt 1 euro. Maar die cams daar….😂. Aan de slagschaduw met de zon kunnen ze zelfs mochten ze dat willen met wat wiskunde de lengte van mijn penis berekenen.

    BeantwoordenVerwijderen