05 April 2019

#google #gmail #hack #breach #hotmail

Een Gmail account heb ik vanaf begin 2005. Voor die tijd, d.w.z. na 1996, gebruikte zo’n beetje iedereen 'Hotmail' of 'Yahoo'. Hotmail werd eind 1997 verkocht aan Microsoft. Het systeem werd belaagd door hackers en was eveneens berucht om de enorme hoeveelheden spam. Yahoo's mail was op dat vlak al niet veel beter. Yahoo was, net als de Hotmail bedenkers, een van de pioniers van het vroege internet in de '90-er jaren.

Het door Google ontwikkelde Gmail was werkelijk een verademing. Een werkend spam- en malwarefilter!

Het scannen van emails werd en wordt echter eveneens gebruikt voor het serveren van 'context gevoelige reklame'. In de loop der decennia ontwikkelde Google voor velen een nare bijsmaak. Inmiddels gebruik ik mijn gmail niet meer. Geen hotmail. Geen Yahoo. Geen Google. Want ja.

gmail hacks
Figure 1. Analyse breaches gmail account met Maltego

Email niet alleen voor 'email'

Een email account gebruik je niet alleen voor directe communicatie. Je email adres gebruik je eveneens als je je aanmeldt bij fora, social media, winkels, games, utility’s, software etc etc. Bij zo’n registratie worden doorgaans meer gegevens gevraagd dan alleen je mail-adres. Die services worden -op enig moment- gehacked. En zo liggen je personalia op de digitale straat als je niet uitkijkt. Voor altijd. Oe echt? Ja.

account breaches
Figure 2. Some more breaches

Wie heeft er niet geleerd van de LinkedIn Breach uit 2012. Die pas bekend werd in 2016. 167 miljoen records. Die van mij was er ook bij. Sindsdien wordt het platform minder bejubeld en geplugd.

Bijvoorbeeld door hollandse overheids-instanties die het nog net niet wettelijk verplicht stelden om een profiel aan te maken als je in de WW kwam. Stuurden wel drommen mensen naar 'cursussen linkedin' op straffe van kortingen. De 'social media coachjes' lachten zich een kriek. Gelukkig was deze gesubsidieerde onzin van korte duur.

  • Ik heb een LinkedIn account vanaf 2006. Nauwkeurig gekuist op persoonlijke data voor een minimale 'footprint'. Actief gebruik ik het niet meer.

  • Mijn accounts voor Disqus, MyHeritage, Marketmesuite, Dropbox, etc heb ik gedelete. Zo ook vele -in vergetelheid geraakte- andere.

Mijn gmail is op een paar grijze haren na 15 jaar oud. Het is dan ook geen verrassing dat die gevonden wordt in 6 'hacks'. De analyse (fig. 1) is gemaakt met Maltego. Maltego is een data mining ic. online onderzoekstool die grafieken genereert voor analyse van relaties tussen verschillende bronnen.

Het plaatje maakt pijnlijk duidelijk dat in de loop der jaren digitale relaties zijn gelegd tussen mijn gmail account, IP adres, gebruikersnamen, social media, locatie, werkgevers en wachtwoorden. Hoe precies de 'sales engagement startup "Apollo"' dat allemaal bij elkaar heeft gefantaseerd, is een raadsel. Of toch niet..

Het is zeer aannemelijk dat jouw meta-data door bijvoorbeeld Google, Facebook, Twitter, Microsoft, Apple, LinkedIn, etc. is verkocht aan adverteerders. [1] [2] [3]

Je kunt je email adres(sen) makkelijk zelf testen bij ';--have i been pwned?.

Of klik hier als je een melding wilt voor de toekomst. Krijg je een melding van ';--have i been pwned?, dan snel je inloggegevens wijzigen. Van al je sites en services waar je het betreffende mail adres hebt gebruikt.

Meer dan één mailadres

Het gmail account gebruikte ik 'vroeger' voor praktisch alles: mailen, op fora, bij games etc. Dat doe ik al jaren niet meer. Gebruikersnamen als reflectie van mijn voor en achternaam. Niet meer. Adres, telefonnummer, woonplaats etc. Ook zeker niet. Bij online shoppen aan de lastige kant. Dus ja. Er zijn enkele uitzonderingen.

Natuurlijk heb ik meerdere email adressen. Op mijn eigen domeinen. Ik ben vooral fan geworden van de 'weggooi mail adressen'. Voor éénmalig gebruik. Mailnesia is er zo eentje. Of Mailinator. Alleen voor ontvangen (zoals een registratie bevestiging) en uitsluitend online uit te lezen.

Voor langduriger gebruik ben ik fan van Cock.li. Een mailadres naar keuze op allerlei domeinen. Sommige zijn wat expliciet, dus wellicht niet voor iedereen. Maar het werkt. Sinds 2003. Inclusief webmail èn IMAP, POP, and SMTP. Gratis. Donaties worden op prijs gesteld.

Als standaard gebruik ik sinds een paar jaar Protonmail. "Er zijn geen persoonlijke gegevens vereist om een veilig e-mailaccount aan te maken. Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat centraal." Er zijn naast een gratis versie een paar smaken betaalde accounts. De goedkoopste is € 4.00 per maand.

Het lost zeker niet alles op. Het wordt op z’n minst minder makkelijk om personalia bij elkaar te harken.