Het nieuws op technologiegebied werd vandaag overheerst door de release van Yunoo, een applicatie die je uitgavepatroon inzichtelijk probeert te maken aan de hand van transactiegegevens, die je kunt importeren vanuit je internetbankier-applicatie. Door middel van grafieken wordt inzichtelijk gemaakt hoeveel je hebt uitgegeven en belangrijker, waaraan je het hebt uitgegeven. In tijden van crisis een goed idee, en ook zeker handig om eindelijk eens dat bezuinig-voornemen te vervullen.
Toch heb ik, als student informatica, een belangrijke vraag bij dit product: durf ik het aan? Is het veilig? Alvorens me aan te melden ben ik dus maar eens in de FAQ’s omtrent veiligheid en privacy gedoken, om uit te vinden wie mijn gegevens allemaal kan lezen en wie niet. Tot nu toe zijn dit mijn bevindingen:
- Yunoo wordt elke dag gecontroleerd op veiligheidslekken door een onafhankelijke instantie. Ik mag er dus vanuit gaan, dat de servers waarop de data wordt opgeslagen volledig beveiligd zijn tegen alle bekende exploits etc. Gezien het feit dat dit probleem overal geldt, maak ik mij hierover niet druk: 1-0 voor Yunoo.
- Yunoo stelt dat ik geen persoonlijke gegevens hoef achter te laten, alleen mijn e-mailadres. Ergo: zo lang mijn naam niet in dat e-mailadres staat, weet Yunoo niet wie ik ben, waar ik woon en hoe oud ik ben. Echter, na aanmelding verzend ik wel al mijn betalingsgegevens naar Yunoo, waaronder de namen van alle mensen/instanties die naar mij geld hebben overgemaakt of naar wie ik geld heb overgemaakt. Yunoo kan uit deze data zonder problemen heel veel informatie halen over wie ik ben, wat ik doe, waar ik woon etc. De score: 1-1.
- Yunoo stelt, dat alle gegevens versleuteld opgeslagen worden. Ergo: het personeel van Yunoo kan mijn gegevens niet inzien. Ik heb hierover nagedacht, en durf dit te betwijfelen. De claim van Yunoo zou gelden, als het bedrijf mijn wachtwoord gebruikt als sleutel voor het AES-algoritme waarmee de data versleuteld wordt. Dit is echter niet het geval; als ik opgeef dat ik mijn wachtwoord vergeten ben, krijg ik een nieuw wachtwoord, en kan ik weer gewoon alle data inzien. Er is dus gebruik gemaakt van een andere sleutel bij de encryptie van deze data.
De claim van Yunoo is nu dus al zwakker: het personeel van Yunoo dat geen toegang heeft tot de sleutel gebruikt bij het versleutelingsalgoritme, kan mijn gegevens niet inzien, wat de score op 1-2 brengt in het nadeel van Yunoo.
De vraag die speelt is dus niet: hoe veilig is Yunoo maar meer: in hoeverre vertrouw ik Yunoo? Hoe ver ga jij op internet, met het uit handen geven van je gegevens?