Bezorgd over de regering? Internetreuzen steken ook hun handen in de koektrommel

De beveiliging is bij veel van de grote online services aangescherpt, omdat bedrijven zoals Google en Microsoft beloven hun gebruikers te beschermen tegen ongewenste nieuwsgierige blikken. Maar terwijl veel mensen zich zorgen maken over ongerechtvaardigde toegang van de overheid tot hun gegevens, spelen de internetbedrijven zelf volgens hun eigen regels.

Een deel van de hitte die de laatste tijd gericht was op de Amerikaanse National Security Agency, was deze week in plaats daarvan gericht op Microsoft. Woensdag onthulde Microsoft dat het een kijkje had genomen in de persoonlijke Hotmail-e-mails van een Franse blogger als onderdeel van een bedrijfsonderzoek naar handelsgeheimen lekken.

Microsoft zei dat het het recht had om dit te doen, omdat het volgens zijn beleid persoonlijke e-mails kan doorzoeken om zijn intellectuele eigendom te beschermen. In dit geval zou een voormalige Microsoft-medewerker Windows RT-updates via e-mail naar de blogger hebben gelekt. In de servicevoorwaarden van Microsoft staat dat het verboden is om de services van het bedrijf te gebruiken voor het uploaden of anderszins beschikbaar maken van bestanden die software of ander materiaal bevatten dat beschermd is door intellectuele eigendomswetten.

"Microsoft behoudt zich het recht voor om materialen geplaatst op de Communicatiediensten te beoordelen en materialen naar eigen goeddunken te verwijderen", zegt het bedrijf in zijn gebruiksvoorwaarden.

Microsoft reageerde op de kritiek door te beloven de procedures bij te werken om ze "transparanter" te maken. In de toekomst, zo zei het, zal een afzonderlijk juridisch team bij Microsoft elk bewijs beoordelen en doorgaan "alleen als dat team concludeert dat er bewijs is van een misdaad die voldoende zou zijn om een ​​gerechtelijk bevel te rechtvaardigen, indien van toepassing." Het zal het bewijsmateriaal vervolgens indienen bij een externe advocaat - een voormalige federale rechter - en alleen een huiszoeking uitvoeren als die persoon het eens is met zijn conclusies.

Maar de uitleg van Microsoft waarom het deze weg moet volgen, zegt het zelf. "Rechtbanken vaardigen geen bevelen uit die iemand machtigen om zelf te zoeken, aangezien een dergelijk bevel duidelijk niet nodig is", legde het uit. 'Dus zelfs als we denken dat we een waarschijnlijke oorzaak hebben, is het niet haalbaar om een ​​rechtbank te vragen ons te bevelen onszelf te onderzoeken.'

Met andere woorden, er zijn geen wetten die Microsoft beletten om de gegevens in zijn eigen services te bekijken, dus alleen Microsoft kan beslissen wanneer dit passend is.

Het staat hier niet alleen in. Andere bedrijven, waaronder Google en Yahoo, hebben vergelijkbare taal in hun servicevoorwaarden.

Er zijn minstens twee class action-rechtszaken die kijken naar de manier waarop de geautomatiseerde systemen van Google e-mails scannen voor advertenties en andere doeleinden. Een van de rechtszaken beschuldigt Google ervan een "griezelige lijn" te overschrijden door de gegevens van Apps for Education-gebruikers te scannen om profielen op te bouwen die kunnen worden gebruikt voor marketing, volgens een rapport deze week in Education Week.

De manier waarop de scansystemen van Google werken, komt neer op illegale "onderschepping" of "afluisteren" onder de federale en staatsafluisterstatuten, beide beweren.

Wanneer Google e-mail scant voor reclamedoeleinden, 'leest' het niet precies 'de e-mails van zijn gebruikers'. Het is allemaal geautomatiseerd, met een machine die in de mails naar zoekwoorden zoekt en deze aan advertenties koppelt. Hierdoor kunnen Google en andere bedrijven hun diensten gratis aanbieden. Maar sommige mensen voelen zich er nog steeds erg ongemakkelijk bij.

Facebook wordt geconfronteerd met een soortgelijke rechtszaak, die beweert dat het bedrijf privéberichten van mensen scant op URL's voor 'doeleinden, waaronder maar niet beperkt tot datamining en gebruikersprofilering'. Het wordt beschuldigd van het overtreden van de Electronic Communications Privacy Act, evenals van privacy- en oneerlijke concurrentiewetten in Californië.

Deze problemen roepen vragen op over de mate waarin gebruikers zich zorgen moeten maken over de toegang die bedrijven hebben tot hun privécommunicatie.

Met uitzondering van bepaalde soorten informatie, zoals medische dossiers, liggen uw gegevens eigenlijk allemaal voor het oprapen, zei Lorrie Faith Cranor, universitair hoofddocent informatica en engineering en openbaar beleid aan de Carnegie Mellon University, en directeur van het CyLab Usable Privacy- en beveiligingslab.

'Er zijn legaal weinig beperkingen op wat grote bedrijven met uw persoonlijke gegevens mogen doen', zei ze. 'Wat u koopt, welke websites u bezoekt ... er is wettelijk geen wet die zegt dat u daar niet naar kunt kijken', zei ze.

Er zijn verschillen tussen het automatisch scannen van berichten van mensen en het daadwerkelijk lezen ervan, maar in beide scenario's wordt enig bruikbaar gebruik gemaakt van de gegevens. Een van de vragen, zei Cranor, is hoe die gegevens worden gebruikt.

E-mails scannen om spam of virussen te voorkomen, is bij de meeste mensen waarschijnlijk prima. Maar e-mails scannen om gerichte advertenties weer te geven? Dat is waar internetgebruikers gemengde gevoelens hebben.

Tegelijkertijd hebben bijna alle grote internetbedrijven hun inspanningen versterkt om de gegevens van mensen te beschermen tegen inbraak door externe entiteiten zoals overheden en hackers. Vorige maand kondigde Microsoft de beschikbaarheid aan van zijn Office 365 Encryption-programma, dat de e-mails versleutelt die mensen sturen om snuffelen moeilijker te maken.

En Google zei deze week dat het de optie verwijderde om de HTTPS-codering uit te schakelen, zodat het voor anderen moeilijker wordt om in de e-mail van mensen te snuffelen.

Voor degenen die op zoek zijn naar meer online privacy, zijn kleinere outfits opgedoken zoals Syme, een gecodeerde Facebook-achtige service en de berichten-app Wickr, die beweert geen manier te hebben om de gegevens van mensen te zien, zelfs als het bedrijf dat zou willen.

Maar het is onwaarschijnlijk dat de belangrijkste gratis online services zoals Facebook en Google binnenkort hun bedrijfsmodellen zullen veranderen.

'Als je een gratis service krijgt, betaal je voor die service met je gegevens', zegt Susan Freiwald, hoogleraar rechten aan de Universiteit van San Francisco, die cyberlaw en informatieprivacy bestudeert. En het feit dat uw gegevens worden opgeslagen op de servers van een bedrijf, zei ze, brengt risico's met zich mee voor de beschikbaarheid ervan voor overheden, hackers en de bedrijven zelf.

En versleuteling gaat misschien maar zo ver. Het onderwerp genereerde vorige week discussie bij SXSW Interactive in Austin, Texas. Tijdens een video-interview merkte NSA-aannemer-gedraaide leaker Edward Snowden op dat HTTPS-codering niet verhindert dat serviceproviders gebruikmaken van gegevens die op hun eigen servers zijn opgeslagen.

End-to-end-codering, die gegevens codeert voordat deze het eigen apparaat van de gebruiker verlaten, is niet praktisch voor internetreuzen omdat het in strijd is met hun bedrijfsmodellen, Chris Soghoian, een senior beleidsanalist bij de ACLU, zei tijdens het evenement. Dat komt omdat het voorkomt dat ze inhoud scannen voor advertenties of andere doeleinden.

"De tools die zijn ontworpen met beveiliging als eerste doel worden vaak ontwikkeld door onafhankelijke ontwikkelaars, activisten en hobbyisten", zei hij.

Met andere woorden, wees voorzichtig met wat u zegt als u een van de belangrijkste online gratis services gebruikt. Zoals Freiwald van de University of San Francisco het uitdrukte: "Er is veel minder beveiliging online dan mensen denken."

Zach Miners behandelt sociale netwerken, zoeken en algemeen technologienieuws voor IDG News Service. Volg Zach op Twitter op @zachminers. Het e-mailadres van Zach is [email protected]

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.