Het nieuws op technologiegebied werd vandaag overheerst door de release van Yunoo, een applicatie die je uitgavepatroon inzichtelijk probeert te maken aan de hand van transactiegegevens, die je kunt importeren vanuit je internetbankier-applicatie. Door middel van grafieken wordt inzichtelijk gemaakt hoeveel je hebt uitgegeven en belangrijker, waaraan je het hebt uitgegeven. In tijden van crisis een goed idee, en ook zeker handig om eindelijk eens dat bezuinig-voornemen te vervullen.
Toch heb ik, als student informatica, een belangrijke vraag bij dit product: durf ik het aan? Is het veilig? Alvorens me aan te melden ben ik dus maar eens in de FAQ’s omtrent veiligheid en privacy gedoken, om uit te vinden wie mijn gegevens allemaal kan lezen en wie niet. Tot nu toe zijn dit mijn bevindingen:
- Yunoo wordt elke dag gecontroleerd op veiligheidslekken door een onafhankelijke instantie. Ik mag er dus vanuit gaan, dat de servers waarop de data wordt opgeslagen volledig beveiligd zijn tegen alle bekende exploits etc. Gezien het feit dat dit probleem overal geldt, maak ik mij hierover niet druk: 1-0 voor Yunoo.
- Yunoo stelt dat ik geen persoonlijke gegevens hoef achter te laten, alleen mijn e-mailadres. Ergo: zo lang mijn naam niet in dat e-mailadres staat, weet Yunoo niet wie ik ben, waar ik woon en hoe oud ik ben. Echter, na aanmelding verzend ik wel al mijn betalingsgegevens naar Yunoo, waaronder de namen van alle mensen/instanties die naar mij geld hebben overgemaakt of naar wie ik geld heb overgemaakt. Yunoo kan uit deze data zonder problemen heel veel informatie halen over wie ik ben, wat ik doe, waar ik woon etc. De score: 1-1.
- Yunoo stelt, dat alle gegevens versleuteld opgeslagen worden. Ergo: het personeel van Yunoo kan mijn gegevens niet inzien. Ik heb hierover nagedacht, en durf dit te betwijfelen. De claim van Yunoo zou gelden, als het bedrijf mijn wachtwoord gebruikt als sleutel voor het AES-algoritme waarmee de data versleuteld wordt. Dit is echter niet het geval; als ik opgeef dat ik mijn wachtwoord vergeten ben, krijg ik een nieuw wachtwoord, en kan ik weer gewoon alle data inzien. Er is dus gebruik gemaakt van een andere sleutel bij de encryptie van deze data.
De claim van Yunoo is nu dus al zwakker: het personeel van Yunoo dat geen toegang heeft tot de sleutel gebruikt bij het versleutelingsalgoritme, kan mijn gegevens niet inzien, wat de score op 1-2 brengt in het nadeel van Yunoo.
De vraag die speelt is dus niet: hoe veilig is Yunoo maar meer: in hoeverre vertrouw ik Yunoo? Hoe ver ga jij op internet, met het uit handen geven van je gegevens?
Hey naamgenoot. Check ook even punt 7 van hun privacy reglement -voor mij eigenlijk de echte dealbreaker.
Is dit niet hetzelfde vraagstuk als online boekhouden? Waar bedrijven inmiddels al enkele jaren hun hele financiele positie (lees kwetsbaarheid) inkloppen en analyseren.
Neem aan dat instanties als de AFM ook bedrijven als Yunoo in de gaten zullen houden?!
interessant zou zijn om te weten hoe Yunoo zijn geld verdient. Dat kan toch niet anders zijn dan via de gegevens van de gebruikers. Als dat gebeurt met geaggegreerde gegevens is dat een redelijke “price to pay”. Ikbetwijfel echter of het daartoe beperkt blijft.
En nog wat: als dit bedrijf op enige manier connecties heeft met de VS zijn ze kwetsbaar voor subpoena’s van de FBI, CIA etc. ook al staan de gegevens op servers in Nederland. Vraag maar aan de Rabobank…
Het klopt dat Yunoo niet anders kan dan geld verdienen met de gegevens van gebruikers. Men stelt dat dit met geanonimiseerde, geaggregeeerde gegevens gebeurt, maar ook hierin moeten we Yunoo maar vertrouwen. Wat betreft claims van FBI, CIA etc. heb je gelijk, al denk ik wel dat banken hier ook al kwetsbaar voor zijn, dus maakt dat niet zo veel uit in dezen.
Het verbaast me vooral dat niemand zich zorgen lijkt te maken om de `machtspositie` die Yunoo in feite heeft. Natuurlijk wil ik graag geloven dat dit bedrijf te vertrouwen is, maar mensen zouden zich in het algemeen veel bewuster moeten zijn van de risico’s die dit soort applicaties met zich meebrengen.
zeker ben ik bewust van de risico’s, vandaar dat ik mijn gegevens nog niet allemaal heb overgeladen.
Wel dient gezegd te worden dat het een mooi systeem is. Voor het bij houden van ” onschuldig ” huishoudgeld is dit een prima tool. Daarbij krijg je met dit systeem alleen je geldzaken bij de bank in beeld dus totaal financieel plaatje niet. maar voorzichtigheid zeker geboden
Ik ben meer bang voor punt 6 van het privacyreglement:
6. Overdracht onderneming
Bij de verdere groei en ontwikkeling van Yunoo, kan het voorkomen dat één of meer onderdelen of activa van de onderneming worden overgedragen aan een derde partij of dat Yunoo fuseert met een derde partij. In dat geval kunnen ook jouw (persoons-)gegevens worden overgedragen.
Oftewel effe w88 todat er genoeg gegevens gevonden zijn en dan verkopen die hap.
Weet iemand of er een soortgelijke tool bestaat voor op je eigen pc? Lijkt me veiliger.
Een antwoordje op EJ : een tooltje op PC? Ik gebruikte hier vroeger altijd MS Money voor, nogal Amerikaans van inborst maar redelijk goed aan te passen aan de Belgisch/Nederlandse manier van werken (als amateur-hoofd-van-een-gezin-boekhouder).
Toch geef ik Yunoo een kans…
Een tool die ik gebruik is Offline Rekening Overzicht
http://www.orov.nl/
Misschien niet zo uitgebreid maar draait lokaal op eigen pc.
Ook hier moet gelden ‘Voor niets gaat de zon op’ (there is no such thing as a free lunch).
Dus óf een redelijke vergoeding voor verleende dienst of de dienstverlener toestaan gebruik te maken (= geld te verdienen) met de beschikbaar gestelde gegevens.
Blijft dus de vertrouwens-/machtskwestie.
Voor kleinschalig gebruik door velen (huishoudboekje) is misschien inderdaad de machtskwestie wel de belangrijkste.
De veiligheid zal voldoende gewaarborgd zijn om te voorkomen dat je zelf direct schade lijdt (misbruik van je rekening).
Ik ben er wel van overtuigd dat als ik mijn gegevens aanlever mijn bestedingspatroon onder de loupe gelegd wordt (geautomatiseerd, anoniem etc.) Dat levert blijkbaar informatie op die geld waard is.
Omdat ik niet over inzicht en kennis beschik die de professionals op dit punt hebben kan ik eigenlijk de invloed die ze daarmee op ons (mij dus ook) kunnen uitoefenen niet inschatten. Dat ze een dergelijke tool ervan kunnen bekostigen en waarschijnlijk een minstens zo goed belegde boterham als ik is op zijn zachts gezegd opmerkelijk. Iedereen denkt dat reclame en andere beïnvloeding vooral anderen raakt, maar ik ben geneigd te denken dat ik net zo hard beïnvloed wordt als de anderen…..
Maar misschien ga ik het toch wel gebruiken. Ziet er inderdaad wel fraai uit…..
Ik gebruik al jaren het programma Winbank:
http://members.quicknet.nl/marcel.jansen3/html/download.html
Draait helemaal lokaal op computer.
Bevalt prima.