#Digital

Vi vet alt om deg …. om sensitive opplysninger i lukkede facebook-grupper

Dette blogginnlegget er skrevet sammen med Ellen Jaatun og Maria Bartnes og ble først publisert på infosec.sintef.no i 2018.

Våren 2018 viste NRK hvor lett det var å kartlegge livet til en enkeltperson gjennom å samle opplysninger fra åpne kilder på Internett. Vi var ikke overrasket over resultatet, som det også sto i saken på nrk.no, da man som enkeltperson lett mister oversikten over totalbildet når man deler litt her og litt der over tid. Og åpne kilder er naturlig nok tilgjengelig for hvem som helst. Men hva med nettsider og tjenester som ikke er åpne? Som krever medlemskap og dermed innlogging, og derfor ikke er åpent tilgjengelig for alle? Er det tryggere å dele mye informasjon i slike lukkede fora? Er det risikofritt? Eller kan det også gi uheldige konsekvenser for den enkelte, som det kan være enda vanskeligere å forholde seg til?

Cambridge Analytica

Påsken i fjor eksploderte saken om Cambridge Analytica, og plutselig er «alle» livredde, og det er rene folkeaksjonen for å avslutte bruk av Facebook. Dette er imidlertid ikke helt problemfritt. Mye ikke-digital sosial aktivitet koordineres via Facebook – uten Facebook-konto blir du den eneste som ikke får med deg at gjengen samles til en improvisert treningsøkt på Jonsvatnet i kveld, og overraskelsesfesten til Preben finner plutselig sted uten at du er til stede.

Lukkede forum?

Mange interessegrupper velger å opprette Facebookgrupper for interne diskusjoner fordi man enkelt kan opprette lukkede grupper. Vårt inntrykk er at «folk» oppfatter lukkede forum bokstavelig.  Administratorer for gruppen forutsetter at deltagere selv tar ansvar for hva de legger inn og forutsetter at innholdet lar seg slette når gruppen slettes. Det samme gjelder profesjonelle interessegrupper som diskuterer sak og problemstillinger hvor innholdet kan være taushetsbelagt eller kompromitterende for den enkelte eller gruppen.

Hva slags beskyttelse gir det egentlig at en gruppe på sosiale medier er «lukket»? På samme måten som at du kan begrense hva andre som går inn på Facebook kan se av din profil hvis de ikke er på vennelisten din, kan vanlige brukere kun lese en lukket gruppe hvis de er medlemmer. Imidlertid tilbyr Facebook annonsører en helt annen tilgang – annonsørene har jo behov for å vite mest mulig om deg som person. Det er dermed uklart i hvilken grad annonsører har tilgang til informasjon som deles i lukkede grupper.

Facebook – dele – dele – dele

Forretningsideen til Facebook er å få deg til å dele så mye informasjon som mulig, og det er derfor ikke overraskende at de prøver å gjøre det så vanskelig som mulig å stramme til personverninnstillingene – som Forbrukerrådet og Consumer Reports nylig kunne rapportere.

En annen ting å tenke over, er Facebooks «folk du kanskje kjenner» algoritme. Flere av oss har sikkert blitt overrasket over at det plutselig dukker opp forslag om mennesker vi har kjent for flere tiår siden, men som man ikke har hatt kontakt med siden. Det finnes mennesker som lever av å selge tjenester av en – skal vi si – intim natur. Disse menneskene har gjerne to Facebook-profiler; en privat hvor de deltar i skolens foreldregruppe, idrettslagets treningsside, osv.; og en helt annen profil hvor de markedsfører sine tjenester. Man kan forstå at disse ikke ønsker at vennelisten på den ene profilen skal blandes med vennelisten (eller klientlisten) på den andre, men flere har opplevd at de plutselig har fått forslag om «folk du kanskje kjenner» fra vennelisten på den andre profilen.

På spørsmål om hvordan denne algoritmen fungerer, har Facebook vært særdeles vag og ullen i sine svar. En annen aktør innen sosiale medier, LinkedIn, er velkjent for sin noe tvilsomme praksis med å høste epostadresser på brukerens maskin, for så å foreslå at man sender en invitasjon til disse adressene. Kanskje ikke så mye galt i dette, men det tvilsomme er at adressene høstes uten at brukerens samtykke er innhentet.

Input til markedsføring

Ut av dette kan vi slutte at interaksjon med andre i en lukket gruppe kan fort bli kjent for andre utenfor gruppen – og ofte er bare det at man er medlem av en gitt type gruppe noe man ønsker å holde hemmelig. Det er mange ting som tyder på at innhold i lukkede grupper kan gi input til markedsføring.

Du er varen …

Hvis du ikke betaler for en tjeneste, er du ikke en kunde – du er varen. Sosiale medier som Facebook har informasjon som valuta – og dess flere detaljer Facebook vet om deg, dess mer verdifullt er det. Konklusjonen er at det ikke er alt som egner seg på sosiale medier. Dersom du har bruk for et forum der du kan diskutere sensitive ting, bør du da kanskje heller kjøpe dette som en tjeneste av en tilbyder som har som forretningside å selge deg denne tjenesten – ikke å selge dine opplysninger. Her vil det være gode muligheter til å sikre seg på alle bauger og kanter med SLA, taushetserklæring og mere til, og i bakgrunnen vil GDPR kunne sørge for at tilbyderen holder seg på matta.

Denne bloggen er tidligere publisert hos Infosec – SINTEFs Forskningsgruppe for Informasjonssikkerhet

 

0 kommentarer på “Vi vet alt om deg …. om sensitive opplysninger i lukkede facebook-grupper

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *