Telegram's Privacy Policy ontleed nl

Door WhatsappHack op zondag 2 maart 2014 04:52 - Reacties (17)
Categorie: -, Views: 7.182

Goed dan. Om mezelf in de toekomst wat typ werk te besparen donder ik het maar eens in een blog.
Noot: dit blog gaat enkel over de Privacy Policy. Wat er eventueel in hun FAQ staat interesseert me niets: dat is immers niet bindend. De Privacy Policy is het enige wat juridisch vast staat en bindend is, wat ze al dan niet in hun FAQ vermelden is compleet irrelevant. De FAQ is niet van toepassing op de Privacy Policy, niet bindend en mogen ze wijzigen wanneer ze willen zonder opgave van reden.

Veel mensen roepen nu al een tijdje dat Telegram *het* alternatief is voor WhatsApp omdat je privacy bij Telegram veel beter is.
Op verzoek waarom het dan beter is krijg je vaak geen echt antwoord en nog vaker krijg je direct een -1 mod of het nou ontopic is of niet, want niemand wil horen dat ze iets moeten onderbouwen; stel je voor dat je wat moeite moet doen he. Of je krijgt te horen: "Ja, je zal wel bij WhatsApp werken want je weet er zoveel van af".
... Ja en elke computer specialist hier werkt voor Dell. Elke scheermesjes blog schrijver (;)) werkt stiekem voor Gilette. Elke iPhone expert die hier rondloopt werkt voor Apple. En iemand die ook maar enigszins verstand heeft van Android moet wel voor Google werken. Toch? Toch!? Neen.
Ik weet hier toevallig veel van af, het interesseert me behoorlijk veel en ik heb de policy's van beide bedrijven zeer aandachtig gelezen. That's all.


Enfin; is het wel zo dat Telegram beter is qua privacy?
Een argument dat ik nu al een paar keer heb gehoord is "Ja, want Telegram is opensource!"
Nou en!? Dat je weet hoe de client werkt en of die veilig is zegt echt he-le-maal niets over je privacy garanties voor de data die opgeslagen wordt op hun servers. Het zegt enkel iets over de werking van de app en deels over de achterliggende techniek. Maar het zegt geen hol over hoe je privacy wordt gegarandeerd; of juist niet wordt gegarandeerd.


Dat afgehandeld, gaan we eens even in op de Privacy Policy.
Wat mensen vaak vergeten is dat dit strict juridische documenten zijn. Een typefoutje kan een wereld van verschil maken. Het ontbreken van een bepaalde garantie *is* een wereld van verschil.
Wat er *wel* staat compenseert niet voor wat er *niet* staat. Hou dat even goed in de gaten.
Bron die gebruikt wordt: https://telegram.org/privacy
1. Sharing data

We never share your data with anyone. No.
Top. Ze zullen het nooit met iemand sharen.
Share? Okee, dat snap ik. Waarom zou je, beetje nutteloos.
(En die tweede No... Er was geen vraag. Het is de FAQ niet. Dat terzijde, mierenneuker.)

Maare... Hoe zit het met "sell data" dan?
Verdomme. Daar staat dus even niets over in de Privacy Policy! Ben ik dan veilig? Nee, natuurlijk niet!
"Ja maar... Share is toch ook het geval bij een verkoop, dan share je het toch gewoon voor geld?"
Neen, dan verkoop je het en/of verkoop je een licentie op het inzien van die data. Dat is juridisch gezien iets anders dan zomaar weggeven of delen met meerdere mensen. En bij twijfel wordt de "overtreder" meestal niet veroordeeld maar moet het gewoon duidelijker verwoord gaan worden.

Er staat dus he-le-maal niets over het verkopen van data, maar er staat ook helemaal niet in of zij ZELF niets met je data doen. Nergens de garantie dat ook zij niet in je data rondneuzen. Wie weet wat er voor leuks in staat. Misschien dat pap & zoonlief even credit card gegevens uitwisselen voor een online aankoop voor de verwende snotaap. Met miljoenen gebruikers is het niet zo raar dat dat een paar keer voorkomt. ("LOL, eigen schuld dan!" Ja, mensen zijn idioten... Maare, eigen schuld indeed, want nergens is gezegd dat de data niet door hen ingezien mag worden en ook staat nergens dat het niet verkocht mag worden."
Er staat ook niet of zij de inhoud mogen scannen en aldanniet geaggregeerde data mogen doorsluizen/verkopen. (Of laten scannen, door een derde partij... Verkoop! ;))

"We never share your data with anyone", mja... Google ook niet.
Maar Google's privacy policy heeft een grote hoeveelheid andere voorwaarden die stellen dat ze het mogen inzien, gebruiken voor advertenties, en bepaalde gegevens mogen verkopen.
Hetzelfde als dit staat dus, in andere woorden, ook wel in Google's privacy policy; maar die geven verder wel aan op welke manier ze het wel mogen delen en geven ook aan wat ze *niet* met je data doen. (En dat mogen ze dan ook niet, trouwens.) Telegram vermeld dat allemaal totaal NIET.

Met andere woorden: je bent eigenlijk bij vele diensten die luid en duidelijk toegeven dat ze je data inzien wellicht nog veiliger met je privacy dan bij deze gasten omdat je hier helemaal nooit weet wat ze in godsnaam met je data aan het doen zijn.
2. Storing data

Telegram only stores the data it needs to function properly — for as long as you want Telegram to function.

Ordinary Messages

Telegram is a cloud service. We store messages, photos, videos and documents from your ordinary chats on our servers, so that you can access your data from any of your devices anytime.
Telegram slaat alleen op wat essentieel is voor de dienst. Alles dus, in dit geval; anders werkt de sync functie niet.
Om even de vergelijking te maken: bij WhatsApp is het louter essentieel om chats op te slaan in het geval dat deze nog niet afgeleverd zijn. Daarna wordt het meteen gewist. Berichten die direct worden afgeleverd staan in principe dus nooit opgeslagen op de servers maar doen een "pass through". Logisch, want WhatsApp werkt enkel vanaf 1 device.

Enfin, in het geval van Telegram waar je op al je devices al je chats en dergelijken wilt kunnen inzien moeten ze dus alles van je opslaan.
Hee, maar... Shit, mochten ze nou niet alles met die data doen wat ze maar willen; dankzij die enorm summiere privacy policy? Ja, dat mogen ze. Ze hebben al je data en mogen ermee doen wat ze willen, inclusief verkopen. En dat is dus inclusief je filmpjes, foto's, et cetera.
(Wat hier nog even grappig bij op te merken valt is dat ze niet zichzelf expliciet uitsluiten van copyright violations en claims.)

Afijn, je data wordt dus zoals ze zelf zeggen allemaal opgeslagen op hun servers. Je chats, je foto's, je videos, je documenten en je normale chats. (En dat laatste is dus wat het merendeel van de gebruikers in gebruik heeft, en de groepchats e.d.) Het enige wat je kan doen is 1v1 met elkaar lullen via de private chats, maar alsnog wordt alle andere data lekker op de servers opgeslagen.


Dan komen we aan bij het encryptie verhaal:
All data is stored heavily encrypted and the encryption keys in each case are stored in several other DCs in different jurisdictions. This way local engineers or physical intruders cannot get access to user data.
Serieus!?
Ten eerste: wat moeten zijn daar in godsnaam mee? Voor distributie als je inlogt vanaf een andere client? Dat is het enige wat ik kon verzinnen waarom zij de keys zouden opslaan.

Ten tweede... Nee, alsnog dat eerste. Wtf?
Wie slaat er nou keys op bij de data, of althans: op hetzelfde server netwerk als de data? Laat dat lekker op het apparaat zelf staan en laat mensen via barcode, een bestandje of handmatig intikken (ja, kut werk.) de sleutels bij een nieuwe device brengen... De keys opslaan bij je data is als je sleutel in het contact van je auto laten zitten en dan klagen als Sjonnie met z'n bivakmuts ermee wegrijdt. Ik hoop van harte dat ik dit gedeelte verkeerd heb begrepen, maar ik heb het voor de zekerheid "just in case" toch maar laten nalezen door wat mensen en die kwamen tot dezelfde conclusie... Gevolgd door een mindfuck. Ben dus bang dat er niets verkeerd aan te begrijpen is. :(
Sowieso... Als het niet de sleutels zijn om mee te decrypten, dan kan je nieuw gekoppelde device het ook allemaal niet uitlezen. Dus helaas moet het haast wel om die sleutels gaan.
Okee... Security vs Usability. Kan ik nog inkomen... Maar sla het dan alsnog niet op deze manier op! :| ... Zonder extra passphrase (salt).

En ja, het moet op hetzelfde server netwerk staan ivm de "nearest server" technologie die ze lijken te gebruiken. Ik bedoel... Die sleutels en je data moeten toch ergens vandaan komen en toch op een of andere manier bij de ontvanger terecht komen, niet waar?
(Dat is ook nog zoiets trouwens... Als mensen de data die ze van jou ontvangen moeten decrypten, dan hebben ze je sleuteltjes nodig. (En ik heb het hier niet over de private chat he...)
Als meerdere devices die hebben is dat niet zo veilig. Maar, het kan ook server side gebeuren; wat dus betekent dat de servers die jou data hebben dus inderdaad bij je keys kunnen :') Het moet toch ergens decrypted worden! ... Tenzij het helemaal niet encrypted wordt afgeleverd bij de ontvanger; enkel beveiligde verbinding en DAARNA wordt het encrypted op de server geknald. Dat zou niet slecht zijn, en zo werkt WhatsApp ook; dus in het geval voor de vergelijking **zouden** ze als het zo werkt gelijk zijn. ... Ware het niet dat alsnog die verdomde keys op de servers worden opgeslagen in het geval van Telegram! ... Maar goed, misschien zie ik iets over het hoofd. Het is laat, wie weet.)

Enne... XOR SHA-1(ciphertext)? Wut? En dan hebben we het nog niet eens over de server MITM gehad bij alle encryptie systemen die ze gebruikten in het begin. Maar goed, eerlijk is eelijker; zoals ik zelf heel goed weet omdat ik ze zelf een keer binnen ben gevallen (hence the nickname...): WhatsApp had ook niet alle zaakjes op orde in het begin. (Al was het daar wel wat "makkelijker" te repareren zelfs met honderd duizenden gebruikers al actief toen.) Maar hier gaat wel wat meer mis dan louter de authenticatie, en dat voor een app die beweert (en wordt verdedigd alszijnde) zeer veilig te zijn.


Goed dan, ten tweede:
Okee, dus "local engineers" hebben geen toegang keys. Top.
"Physical intruders" hebben geen toegang tot de keys. Top.

Valt men iets op? Weer staat er geen donder vermeld over of zij zelf toegang hebben of ooit die sleutels gebruiken voor zichzelf of voor verkoop doeleinden.
Maar dat terzijde... Een "physical intruder" is heel leuk verwoord. Het woord zegt het zelf, iemand die fysiek op de server probeert in te breken. Als er dus een server gejat wordt of als de Sjakie die een rack verderop zit de harde schijven uit je servers weet te jatten.

... But what about "remote"?
Ja, dan wordt het een ander verhaal. Als iemand remotely de Telegram service weet binnen te dringen, kan je er vanuit gaan dat ze dat op meerdere servers kunnen. En wat kunnen ze dan bemachtigen? Zowel je encrypted data, als de bijbehorende sleutels. Tadaa, meneer/mevrouw de hack(st)er heeft zojuist al je data gejat en kan al je geschiedenis inzien, al je foto's inzien, al je videos inzien, alle verzonden en ontvangen documenten inzien, et cetera, et cetera, et cetera.

Zoals je kunt zien is de privacy steeds heel precies verwoord om te zorgen dat het een idee geeft van enorm hoge veiligheid, maar in de praktijk is het dus eigenlijk helemaal niet zo bijzonder veilig... Die hele privacy policy is een leuk zoethoudertje, er staan allemaal dingen in waarvan je denkt "Ohhh, geniaal! Toppie!" maar eigenlijk beschermd het je nergens tegen.
Sterker nog: het enige wat dit is... Is een disclaimer. Ze vertellen je dat ze niet "sharen" en dat tevens al je data wordt opgeslagen. Maar privacy? Er wordt met geen woord gerept over hoe zij met je privacy omgaan en wat ze met je data doen. Schijnveiligheid en leuke woordjes dus.

Om daar nog even ietsjes dieper op in te gaan pakt men er ook nog even de volgende passage bij:
Secret Chats

Secret chats use end-to-end encryption. We do not store your secret chats on our servers. We also do not keep any logs for messages in secret chats. What this all means, is that there is no way for us to know who or when you message via secret chats — as soon as the messages are delivered, they're gone. And there is no way for anybody, including us, to learn what was in those messages, photos or videos. For the same reasons secret chats are not available in the cloud — you can only access those messages from the device they were sent to or from.
Goh, dus ze hebben wel aan zichzelf gedacht. Hier kunnen ze opeens wel vermelden dat zij er niet bij kunnen. Waarom vermelden ze dan bij de rest van de privacy policy helemaal niets over wat zijzelf er mee doen en of ze het al dan niet kunnen verkopen?
Ze zijn dus wel degelijk bewust dat er een "us" in het plaatje zit, maar die vermelden ze nergens in de relevante stukken.

Overigens moet ik zeggen dat ik dit specifieke gedeelte nog niet uitgebreid bekeken heb in de programmatuur, maar ik ben eigenlijk benieuwd hoe de key-exchange plaatsvindt bij secret chats. Is het echt dat de clients op de telefoons met elkaar ouwehoeren, of zit hun server er nog tussen en wisselt die de sleuteltjes uit? Het doet niets af aan de "we do not store it in the cloud", blij dat ze dat vermelden; dat is dan bindend. Maar het maakt wel uit voor de algemene veiligheid natuurlijk waar die keys gegenereerd worden.
Contacts

Telegram uses phone numbers as unique identifiers, so that it is easy for you to switch from other messaging apps (SMS, WhatsApp, etc.) and retain your social graph. We always ask your permission before syncing your contacts.

We store your contacts in order to notify you as soon as one of your contacts signs up for Telegram and to properly display names in notifications.
Hier moest ik ook nog even bij opmerken:
Men vergelijkt steeds Telegram met WhatsApp. Let wel dat WhatsApp je contacten in hashed vorm opslaat zonder koppeling naar jou toe. De client op je telefoon controleert periodiek, en als je een nieuwe contact toevoegt direct, of mensen nog WhatsApp hebben en of er mensen uit je contactenlijst zijn die het ook hebben geinstalleerd maar dat voorheen niet hadden.
Dat wordt gedaan aan de hand van een hash, als de hash matched krijgt de client op je telefoon een reactie dat de verzochte informatie om een WhatsApp account ging; en dus weet je client dat dat nummer WhatsApp heeft. (De naam wordt ook niet meegezonden, WhatsApp haalt de naam uit je adresboek/contactenlijst.)

Telegram werkt niet op deze manier. WhatsApp zou je ook een notificatie kunnen geven, maar dat gebeurt dan op je toestel zelf. De client moet dan die melding genereren op eigen houtje.
Bij Telegram dus niet. Die zeggen namelijk zelf dat ze je telefoonboek op de server moeten opslaan, inclusief de naam van het contact, omdat ze dan vanaf die kant notificaties kunnen geven.

Je contacten staan dus niet hashed opgeslagen, zijn voorzien van naam (in tegenstelling tot WhatsApp waar dat niet opgeslagen is) en wellicht overige informatie en kunnen actief gebruikt worden.
Hier vermelden ze niet eens of de data uberhaupt op wat voor manier dan ook encrypted wordt. We moeten er dus vanuitgaan van niet, wat inhoudt dat ook "local engineers and physical intruders" deze data blijkbaar kunnen inzien. En remote intruders kunnen dat ook, en dat zonder de sleutels nodig te hebben. Lekker!

... En dan nog iets. Ze slaan die contacten dus unhashed op in de cloud. Hoewel je end-to-end secret chats kan inschakelen, als je 1 op 1 chat, lijkt het er voor zover ik kan zien op dat de servers alsnog kunnen vaststellen, inclusief persoonlijke info!, wie met wie aan het chatten is. Dat kan soms al aardig cruciale data zijn.


Dan... Volgend puntje:
3. Deleting data

Accounts

If you would like to delete your account, you can do this on the deactivation page. Deleting your account permanently removes all your messages, groups and contacts. This action must be confirmed via your Telegram account and cannot be undone.

We are still working on our apps and will provide additional migration options in future.

Messages

Everything you delete is deleted forever. Except for cats.
We never delete your funny cat pictures, we love them too much.

When you delete a message, you delete it from your message history. This means that a copy still stays on the server as part of your partner‘s message history. As soon as your partner deletes it too, it’s gone forever. Telegram is a non-commercial project and we value the disk space on our servers greatly.
Okee. En hoe zit het dan met mijn foto's? Mijn videos? Mijn documenten? Waarom worden die niet verwijderd?
Let op he... Het staat niet in de privacy policy dat die ook verwijderd worden, dus die mogen ze gewoon behouden; zolang als ze willen.
Maar goed, de inhoud van je berichten is dan in ieder geval wel veilig... Mits je ontvangers het ook verwijderen.
Je zult er dus nooit echt zeker van zijn, tenzij je 100% zeker weet dat de ontvanger de boel ook weglazert.
En opnieuw: dit wordt allemaal opgeslagen met je persoonlijke gegevens erbij...

Maar goed... In theorie... Als je eerst al je bestandjes verwijderd (en geen van je ontvangers heeft het nog staan) en DAN pas overgaat op het verwijderen van je account zou alles, opnieuw: mits je ontvangers het ook verwijderen, weg moeten zijn.
Maar... Hoeveel mensen zullen dat nou doen? Hoeveel mensen lezen uberhaupt die policy? Naar mijn ervaring van de afgelopen dagen leest geen hond het, of ze lezen het en snappen er eigenlijk niets van, of lezen enkel wat er staat maar vergeten even alles wat er niet staat.
Kortom: geen echte veiligheid, geen goede privacy.
Self-destructing messages

Messages in Secret Chats can be ordered to self-destruct. As soon as such a message is read (2 ticks appear), the countdown starts. When the time is out, the message (photo, video) disappears from both devices participating in a secret chat.
Eindelijk... Het enige gedeelte in de privacy policy waar je iets aan hebt en wat aangeeft wat je privacy wel kan garanderen. (Hoop ik... Dit is het eerste, en meteen ook laatste, stukje van de privacy policy waar ik enigszins blij van wordt)
Het nadeel is natuurlijk wel dat je het niet terug kan lezen, niet op andere devices kan zien (wat als voordeel wordt genoemd door sommige mensen), en foto's en deregelijken ook pleite zijn. (Tenzij de ontvanger er snel een backup/screenshot van maakt.)


Dit alles is voor mij reden genoeg om aan te nemen dat Telegram's Privacy helemaal niet beter is dan die van WhatsApp. Sterker nog: hij is veel en veel slechter.
WhatsApp slaat je chats totaal niet op en communiceren gaat via een encrypted verbinding. Je contacten worden hashed opgeslagen, zonder persoonlijke informatie zoals een naam erbij. Het enige dat enige tijd bewaard kan worden is de data die je verzend. Deze wordt echter ontdaan van persoonlijke informatie en wordt automatisch weer verwijderd na maximaal enkele dagen. (Dat om bandbreedte en opslag te besparen.)

Daarnaast garandeerd WhatsApp wel dat ze je chats dus inderdaad niet opslaan op wat voor manier dan ook (behalve berichten die nog niet afgeleverd zijn, met een maximum van 30 dagen.), geen van je data mogen delen en/of inzien en/of verkopen (WhatsApp vermeld dat wel in hun policy...), etc.

Excuse me for sounding like a skeptic... Maar hoe kan je in godsnaam beweren dat Telegram een Privacy vriendelijker alternatief is dan WhatsApp!?
WhatsApp die wel garanties bied en heel duidelijk is, in plaats van Telegram dat heel vaag doet en eigenlijk zo'n beetje ALLES wat jou beschermd heeft ontbreken in hun privacy policy en zelfs bepaalde dingen in hun "privacy" policy zetten waarmee je hun vrijwaart en toestemming geeft, in plaats van dat het jou beschermd.


Ik kan er werkelijk niet bij hoe mensen dan nog met droge ogen kunnen beweren dat Telegram privacy vriendelijker is. Uberhaupt de policy gelezen? Uberhaupt wel vergeleken met de policy van WhatsApp? Ugh.


Disclaimer:
Neen, ik werk niet voor WhatsApp. Jammer dat ik dat moet vermelden.
Neen, ik heb niet per definitie iets tegen Telegram. Ik heb enkel iets tegen de opmerkingen dat Telegram oh zo veel veiliger is terwijl het tegenovergestelde juist waar is.
Mijn advies: WhatsApp is totaal NIET veranderd sinds de Facebook overname (die nog niet eens rond is.). Het is nog steeds *exact* dezelfde dienst als voorheen met dezelfde policy's. Er is niets gewijzigd. Wil je toch perse weg bij WhatsApp, ondanks dat je het eerst met plezier gebruikte en er niets veranderd is, puur omdat Facebook het heeft overgekocht (maar niets doet om je privacy te ondermijnen)?
Gebruik dan in godsnaam geen Telegram als het je werkelijk te doen is om de privacy, want dan ben je bij Telegram aan het verkeerde adres. Als het je werkelijk te doen is om privacy... Dan zit je bij WhatsApp op dit moment nog een stuk veiliger dan bij Telegram.
... Al zullen er inderdaad vast diensten zijn die het nog beter regelen dan WhatsApp. Maar het ging hier om Telegram vs WhatsApp. ;)
Als het je om privacy te doen is en je hebt WhatsApp altijd fijn gevonden: gebruik dan gewoon WhatsApp!


Als het je is gelukt om de gehele blog entry te lezen zonder spullen over te slaan (TL;DR): hartelijk dank en kudos!


Last but not least:
Als je het niet met me eens bent, dan is dat helemaal goed. Dat hoeft ook niet. Het zou eng zijn als iedereen het maar met elkaar eens is. Maar... Hou het wel netjes, maak geen ongefundeerde beschuldigingen, onderbouw alsjeblieft je mening/expertise als je een reactie wilt geven en laten we elkaars visie respecteren. Het enige wat ik met deze blog duidelijk wil maken is dat men goed moet opletten en niet loos moet roepen dat de Privacy goed geregeld is terwijl dat, zeker vanuit juridisch oogpunt, totaal niet het geval is.

Thanks, ik hoop dat je het boeiend leesvoer vond! :)
Excuses voor eventuele tikfouten, het is al heel erg laat terwijl ik dit schrijf.
Ik hoop dat ik niets over het hoofd heb gezien bij de crypto stukken. :)


-EDIT-
Leuke toevoeging: De EFF (Electronic Frontier Foundation) kennen we allemaal. En dat zijn betrouwbare sjaken toch?
Die hebben gemeld dat WhatsApp inderdaad bekend staat om zijn privacy vriendelijkheid en het niet delen of opslaan van data.
(Met kantekening dat ze wel doodsbang zijn dat Facebook daar verandering in gaat brengen, maar ook duidelijk aangegeven dat dat op dit moment inderdaad NIET het geval is en er nog niets te vrezen valt.)

Volgende: WhatsApp Update Melding 03-'14 WhatsApp Update Melding
Volgende: Facebook & WhatsApp: What about our private data!? 02-'14 Facebook & WhatsApp: What about our private data!?

Reacties


Door Tweakers user Felyrion, zondag 2 maart 2014 06:11

Ten eerste: respect voor je uitpluiswerk, er zit veel interessante materie in je blog. Een kritische kijk kan geen kwaad. Veel feitelijkheden waar niemand omheen kan :) Ik heb het met interesse gelezen.

Kleine kritische noot: eerlijk gezegd vind ik het nog steeds wel doorspekt met pro-WA, maar dat kan ook mijn manier van interpreteren zijn.

En dan: zou je niet geďnteresseerd zijn om daadwerkelijk de dialoog aan te gaan met de developers van Telegram om ze op deze zaken te wijzen? Tot nu toe zijn ze redelijk in staat gebleken meningen van anderen aan te horen en hier adequaat op te reageren. Het zou geweldig zijn als deze dienst zijn privacy policy zover aan zou scherpen dat het wél een geduchte partij wordt om WA te vervangen of tenminste een gezonde concurrent te vormen.

Als ze echt de boot afhouden hiermee verliezen ze wel geloofwaardigheid. De huidige policy is een beetje... tsja, laat ik het voorzichtig onvolwassen noemen, en dan druk ik me vriendelijk uit.

Ik ben om verschillende redenen pro-Telegram (sorry, ik haat inmiddels gewoon de handelswijze van FB, dus ik gun het ze al niet eens, hoe gekleurd wil je het hebben ;) ) dus ik volg deze discussies met interesse.

Door Tweakers user Blokker_1999, zondag 2 maart 2014 09:20

Goh, je was me al snel verloren, het meeste van je blogpost heb ik eens overgeskimmed. Het lijkt mij alsof je alles eruit haalt om de policy van Telegram in een slecht daglicht te stellen.

Enkele opmerkingen: Wat in de FAQ staat heeft wel degelijk een juridische waarde. Het toont aan hoe Telegram zijn eigen voorwaarden interpreteert en kan in een rechtzaak dan ook aangevoerd worden als de visie waarop jij je als eindgebruiker kon baseren in het geval de policy dubbelzinnig was maar de FAQ duidelijk.

Sharing Data
Hieronder word over het algemeen ook de doorverkoop van data verstaan. Geen enkele firma gaat zomaar, zonder reden, data van zijn gebruikers geven aan iemand anders. In alle gevallen zal men er een voordeel uithalen. Ofwel geld, ofwel een wederdienst. Dus ja, het gaat hier niet puur om delen zoals je met een torrent zou doen.

Storing dataDat zij de sleutels opslaan mag niet zo vreemd zijn. De gemiddelde gebruiker wil vandaag in de eerste plaats gebruiksgemak. Zij willen hun gebruikersnaam en wachtwoord ingeven en dat is voor hen voldoende. Alles wat er daarna extra bijkomt is alleen maar een last voor hen. Jij bekijkt het hier vanuit een technisch oogpunt, en daar heb je gelijk, maar 99% van de gebruikers wil gewoon iets dat werkt met een minimum aan inspanning. En ja, uiteraard kan Telegram aan die sleutels aangezien zij nog altijd toegang hebben tot al hun eigen servers. Wat dacht je dan? Denk je dat een gmail je mails niet kan lezen? Dat microsoft je msn berichten niet kan meelezen?

Deleting data
De knipoog naar de katten toont aan dat ze niet alleen tekstberichten verwijderen maar dat ze ook alle andere media aanzien als berichten en dat deze ook allen verwijderd worden. Waarom zouden ze tekstberichten wel verwijderen en andere media niet terwijl die andere media net veel moeilijker te indexeren is en veel meer ruimte inneemt? Niet echt logisch.

Bottom linewat is beter, telegram of WA? Alle twee even goed/slecht. Bij Telegram ga jij op zoek naar alle negatieve elementen terwijl je bij WA zomaar alle positieve zaken voor waar aanneemt. Weet je, BB Messenger was ook veilig, onkraakbaar totdat aan het licht kwam dat RIM wel degelijk een backdoor had in zijn eigen encryptie en regeringen dus konden eisen om deze berichten mee te lezen. Wat is je privacy policy dan ineens waard gebleken? Wil je zeker zijn dat niemand meeluisterd? Spreek dan af in eigen persoon, en praat met elkaar. Geef een foto persoonlijk af, print een document uit en stuur het per post op, ... . Alles wat online gebeurd zal vroeg of laat misbruikt worden ongeacht wie er achter zit.

Door Tweakers user Dreeke fixed, zondag 2 maart 2014 09:20

Als je dan zo kritisch bent, ga dan naar/kijk dan ook eens naar:
TextSecure: https://github.com/whispersystems/textsecure/
surespot: https://github.com/surespot/android

Door Tweakers user Rob, zondag 2 maart 2014 09:23

Kleine kritische noot: eerlijk gezegd vind ik het nog steeds wel doorspekt met pro-WA, maar dat kan ook mijn manier van interpreteren zijn.
Als iemand kritisch kijkt naar het ene, is hij/zij niet meteen pro de concurrentie.

Ik heb Telegram nog niet geinstalleerd, maar als ik zo zie hoe hun PP is opgebouwd, wacht ik daar ook nog wel even mee

Door Tweakers user calvinturbo, zondag 2 maart 2014 12:22

WhatsappHack is anders wel Pro-WA, maar goed, dat wil niet zeggen dat hij niet kritisch kan kijken naar andere diensten en/of Whatsapp zelf.
-
Ik blijf Hangouts gebruiken omdat dat gewoon erg lekker werkt, wat mij opvalt aan al die chatapps die speciaal voor extra privacy zijn gemaakt is dat ze meestal minder goed werken dan chatapps zoals Hangouts en Whatsapp, bij sommige moet je zelfs keys uitwisselen.
Dat is totaal niet praktisch, als je dan zo graag wilt praten zonder dat iemand meeleest (je bent zo interessant :/ ..), doe dat dan inderdaad in RL zoals Blokker zegt.

[Reactie gewijzigd op zondag 2 maart 2014 12:26]


Door Tweakers user BeefHazard, zondag 2 maart 2014 12:28

Ik ben het grotendeels eens met Blokker_1999. Je blog voert Telegram in een erg negatief daglicht terwijl dat niet altijd zo hoeft. Toch is het goed dat je er op een andere manier naar durft te kijken. Persoonlijk ben ik niet naar Telegram gegaan vanwege de privacy maar omdat ik een ontzettende hekel heb aan WhatsApp. Totaal random selecteren ze mensen die moeten betalen en het werkt maar op 1 device. Dat betekent dat als mijn telefoon stuk is - zoals nu -, ik niet op mijn pc verder kan maar ik gelijk ergens moet gaan schooien voor een leentoestel. Het feit dat Telegram een open API heeft is voor mij reden genoeg om over te stappen. Yay voor keuze uit clients!

Door Tweakers user THWIT, zondag 2 maart 2014 12:34

Super blog! Leuk en interessant om te lezen en zeker ook iets om door te sturen naar wat vrienden.

Je hebt hier en daar wel wat spelfouten, maar ach, dat is ook niet zo hinderlijk hoor ;-)

Door Tweakers user we_are_borg, zondag 2 maart 2014 13:17

Ze kunnen niets met je data in hun policy staat namelijk niets over een licentie op het moment dat ze foto's van jouw gebruiken kan je dus zeggen waar is de licentie zelfde op tekst enz enz. Daarom staat er by forums het volgende:
You are granting us with a non-exclusive, permanent, irrevocable, unlimited license to use, publish, or re-publish your Content in connection with the Service. You retain copyright over the Content.
Goede websites waar user content gebruikt wordt heeft dit in deze of zulk sort verwoording.

Door Tweakers user i-chat, zondag 2 maart 2014 14:50

TLDNR

of eigenlijk:

1. Sharing data

We never share your data with anyone. No.
Top. Ze zullen het nooit met iemand sharen.
Share? Okee, dat snap ik. Waarom zou je, beetje nutteloos.
(En die tweede No... Er was geen vraag. Het is de FAQ niet. Dat terzijde, mierenneuker.)

Maare... Hoe zit het met "sell data" dan?

FAIL!!!!!! dit soort geert wilders rethoriek is gewoon te walgelijk voor woorden, het slaat als een tang op een varken en getuigt zowel van: gebrek aan juridische kennis als van een overdosis van fanboy-gedrag..

maar om even heel kort te reasgeren.. not sharing data, betekend hier delen in de breedste zin van het woord, en zijn mogen vertalen als: in handen geven,

als je werkelijk denkt dat je met dit soort kinderlijke argumenten een product van je anti-whatsup fanboyisme kunt zwartmaken hoor je gewoonweg niet op een site als dit..

en over 'de russen' ik vertrouw ze net zo min als google, waar mijn mail staat, en net zo min als elke andere partij waar ik diensten af moet of wil nemen. je bewust zijn van de risco's is 1 stap, het spreiden van risico's een 2e

nu nog even over waarom opensource client hier zo belangrijk is... je kunt je eigen client bouwen, dat betekend dat je de berichten die je stuurt nog extra kunt versleutelen .. je zou een netwerk binnen dit netwerk kunnen starten en tot men besluit je te blokkeren heb je dus WEL die veiligheid je hoeft alleen maar iets als OTR te implementeren

Door Tweakers user 461943, zondag 2 maart 2014 16:30

Wat boeit het. Je data is toch nergens veilig. Je hebt geen privacy tenzij je op een hutje op de hei gaat wonen, en zelfs dan kan een satelliet naar je kijken. Kortom, je word altijd afgeluisterd en niets is privaat.

Ik heb Telegram gekozen omdat Facebook geen apps kan maken en waarschijnlijk Whatsapp snel verneukt, en omdat Telegram een desktop client heeft. Veiligheid is toch al lang een illusie.

Door Tweakers user bonyuri, zondag 2 maart 2014 20:49

dbhuis schreef op zondag 02 maart 2014 @ 16:30:

Ik heb Telegram gekozen omdat Facebook geen apps kan maken en waarschijnlijk Whatsapp snel verneukt, en omdat Telegram een desktop client heeft. Veiligheid is toch al lang een illusie.
Mooit dit: "omdat Facebook geen apps kan maken" en "waarschijnlijk Whatsapp snel verneukt".
Wat een stemmingmakerij. We gebruiken al jaren Facebook, al tijden Whatsapp en nu deze 2 samenkomen is het ineens een verschrikking?
Mensen, doe niet zo hypocriet en volg niet de mensenmassa omdat je bang bent dat je achterblijft...

Door Tweakers user levik7, zondag 2 maart 2014 23:53

Hmmm, je hebt me overtuigd!
Voorlopig alleen snapchat's gebruiken dan :P

Door Tweakers user THWIT, maandag 3 maart 2014 00:46

levik7 schreef op zondag 02 maart 2014 @ 23:53:
Hmmm, je hebt me overtuigd!
Voorlopig alleen snapchat's gebruiken dan :P
Hahaha +1. Snapchat is natuurlijk dan ook nog eens zo lek als een mandje

Door Tweakers user i-chat, maandag 3 maart 2014 07:57

bonyuri schreef op zondag 02 maart 2014 @ 20:49:
[...]


Mooit dit: "omdat Facebook geen apps kan maken" en "waarschijnlijk Whatsapp snel verneukt".
Wat een stemmingmakerij. We gebruiken al jaren Facebook, al tijden Whatsapp en nu deze 2 samenkomen is het ineens een verschrikking?
Mensen, doe niet zo hypocriet en volg niet de mensenmassa omdat je bang bent dat je achterblijft...
haha die is dan wel weer mooi, iemand betichten van stennismakerij onder het blog van whatsapphack de grootste pro-whatsapp / anti-aternatieven stennismakerij sinds de laatste pro-ms pro-apple of pro-linux flamewar... het moet toch ook niet gekker worden.

enne hypocriet valt ook wel mee hoor, ik heb nog nooit facebook gebruikt zelfs niet via tor, en dat gebruik ik toch als alternatieve rout voor bepaalde sites als ik die info niet graag aan mijn eigen ip-gekoppelt zie.

Door Tweakers user WhatsappHack, maandag 3 maart 2014 19:37

@Felyrion:
Dank voor je commentaar.

Uiteraard sta ik daar voor open. Misschien moet ik ze ook maar eens een mailtje sturen om te kijken of ze de naar voren gebrachte punten willen overwegen dan wel ophelderen.
Op het moment dat iets multi-interpretabel is dan geeft dat naar mijn idee niet voldoende zekerheid. Iedereen ziet dat anders natuurlijk, maar ik heb liever een policy van 2 pages langer waarbij alles duidelijk is dan dat je maar moet gaan gokken wat zij ermee bedoelen hehe.


@Blokker_1999:
Dank voor je commentaar.

Tja, jammer.
En ja natuurlijk haal ik alle aspecten eruit die me niet aanstaan, als je op een pro-Telegram blogje had gehoopt dan zit je inderdaad verkeerd. :)
Als een dienst "taking back our rights to privacy!" stelt, wat sowieso al best grappig is gezien je dat recht sowieso al hebt; je kiest er zelf voor of je die opgeeft of niet: maak het dan ook waar en zorg voor de volle 100% dat alles klopt en niet afhankelijk is van interpretatie.

Enfin, nee niet helemaal. Juridisch zit hun hele spul sowieso bijzonder slecht in elkaar. Ze stellen niet expliciet dat ze wijzigingen mogen doorvoeren wanneer ze willen. Er staat echter ook niet dat dit niet mag.
"Schreifvouten voorbehouden" is iets dat ze over de FAQ zo kunnen claimen, maar een *policy* is iets bindend.

Sharing data:
zijn we het dus over eens dat geen enkele firma dat zomaar zal doen. Toch zet iedereen dat, al dan niet in andere bewoording, in de Privacy Policy. Waarom? Jezelf indekken en zorgen dat het voor de klant glashelder is. Fancy taal, et cetera.
Om het even in jip en janneke taal in perspectief te zetten, voila:
http://ittybiz.com/backissues/sharing-vs-selling/
Er zitten wel degelijk (juridische) verschillen in, en dat moet dan ook gewoon glashelder verwoord worden.
Jij gaat hier van het beste uit in Telegram, iets wat meer mensen doen en ik behoorlijk hypocriet vindt omdat men bij WhatsApp van de een op de andere dag opeens van het slechtste uitgaat, maar waarom dat is... Ik zou het niet weten. En ik ga nou eenmaal niet van het beste uit, maar van een "worst case scenario". Dat noemt men kritisch. En jij mag daar veel opener in zijn, maar ik heb liever 100% zekerheid als ik al m'n data weggeef.

Storing data:
Je herhaalt eigenlijk wat ik al gezegd heb. De sleutels bij de data opslaan is echter wel een beetje achterlijk. Dat kan beter geregeld worden en *veel* beter beveiligd worden dmv het toevoegen van een passphrase.
Over dat andere diensten ook toegang hebben en kunnen meelezen: Ja, inderdaad, je hebt duidelijk m'n blog niet gelezen.

Deleting data:
Niet echt logisch, inderdaad; maar potentieel veel data.
Opnieuw: als het niet expliciet vermeld staat, en het staat **absoluut niet vermeld**, dan ga ik er vanuit dat ze deze dus bewaren. Of althans: dat ze het *mogen* bewaren. En dat mogen ze. En dat in combinatie met verdere privacy zorgen wil ik persoonlijk niet dat Telegram mijn data krijgt.
Opnieuw: jij mag er al het vertrouwen in hebben, maar ik bekijk dit kritisch en wil 100% zekerheid.

Bottom line:
Ja ik heb ook een bottom line: je hebt niet gelezen :P
Ik neem helemaal niet zomaar alle positieve zaken voor waar aan, ik neem voor feitelijk aan wat er in de legaal bindende privacy policy staat. Daar hebben ze zich aan te houden. En die van WhatsApp biedt garanties waar die van Telegram dat niet expliciet doet. Dat heeft niets te maken met positiever er naar kijken: het is gewoon een feit. Punt. Niets aan te veranderen.

Enne... Als er iemand is die WhatsApp zwaar in het negatieve daglicht heeft gezet dan ben ik het wel. (Geen arrogantie intended, is nou eenmaal zo.) Het stelde wat mij betreft vrij weinig voor gezien de simpliciteit, maar ik ben het verst doorgedrongen in WhatsApp systemen dan wie dan ook, en daar heb ik ze ook behoorlijk over zitten afzeiken omdat het een simpele fout was, te simpel misschien; daardoor is het mogelijk over het hoofd gezien. Lees m'n posts op de Gathering maar na... "Lekker veilig, dat WhatsApp" stel ik daar; voordat ze het lek hadden gedicht.
Ze hebben het nu echter sterk verbeterd. Als Telegram dat ook doet, zal ik ook een stuk positiever kijken naar Telegram.
Wel zo eerlijk, niet waar? Maar nee, volgens jou mag ik niet kritisch kijken naar Telegram omdat ik daar negatieve dingen vind en, zogenaamd, bij WhatsApp niet. Nee dat klopt, ik zie niets negatiefs staan in de policy van WhatsApp... Dat hebben zij heel goed aangepakt.

En ja, als je helemaal veilig wil zijn flikker je je modem, laptop en mobiele telefoon het raam uit.


@Dreeke fixed:
Dank voor je commentaar.
Wil ik best eens doen hoor, maar dit blog ging specifiek over Telegram vs WhatsApp omdat Telegram zogenaamd "*het* veiligere WhatsApp!" is.
Wat dus gelul is.


@calvinturbo:
Dank voor je commentaar.

Nouja, laat ik even ophelderen: ik ben niet perse pro wat voor dienst dan ook. Als we de vergelijking trekken tussen Telegram en WhatsApp: ja dan gaat mijn voorkeur sterk uit naar WhatsApp. Dat betekent inderdaad niet dat ik daarom Telegram harder aanpak dan WhatsApp. Welnee, WhatsApp heb ik in het verleden ook sterk aangepakt.
Maar als we een andere dienst pakken, BBM vs WhatsApp bijvoorbeeld; dan heb ik vrij weinig op te merken behalve mijn persoonlijke voorkeur. (Ja, ook WhatsApp, want daar zit iedereen en werkt makkelijker; maar ik kan en hoef BBM niet zo aan te vallen als Telegram: bij BBM hebben ze de zaakjes wel voor elkaar namelijk en daar zit je privacy technisch wel veilig.)
Het lijkt er echter op dat mensen die een andere voorkeur hebben automatisch vinden dat ik Telegram oneerlijk benadeel; als die mensen ook eens objectief zouden kijken zou het een stuk makkelijker maken allemaal. :)


@BeefHazard:
Dank voor je commentaar.

Nee, het hoeft niet. Maar ik doe het wel. :P Ik vind hun privacy policy gewoon belachelijk, en dat ik schrijf ik dan ook zo op. :)
WhatsApp selecteert trouwens niet totaal random mensen uit. In Nederland is het systeem een beetje ruk omdat op Android er geen betalingsmogelijkheden zijn buiten Credit Card om. (En enkel bij KPN carrier billing.) Hierdoor durven ze absoluut niet om het betalen te forceren.
Over het algemeen wordt je WhatsApp constant verlengd op de dag dat het zou verlopen; tot dat ze een oplossing hebben voor de betalingen.
Enigszins oneerlijk tegenover iOS gebruikers is dat wel. (MAARJA DAN MOET JE MAAR GEEN IPHONE KOPEN, HAHA! Nee grapje natuurlijk, dat slaat nergens op. :))
Ik begrijp je reden om over te stappen. Het is voor iedereen anders inderdaad.

Ja, keuze is inderdaad een mooi iets! :)


@THWIT:
Dank voor je commentaar!


@we_are_borg:
Dank voo je commentaar.

Nope, het staat er niet. Je doet er geen afstand van qua copyright content. Maar je geeft ze wel permissie om het op te slaan en er zolang het opgeslagen staat in principe mee doen wat ze willen.
Er staat ook niet expliciet dat ze het niet mogen verkopen, maarrrr qua *copyright* technische info ben je dan inderdaad iets beter beschermd door de wet (although... Russia... Lol, grootste warez haard ter wereld geloof ik.) maarrrr zij kunnen nog altijd beargumenteren dat omdat je wist dat je het opsloeg op hun servers zij er bij kunnen en gebruik maken, er staat niet dat het een dienst is die als tussenstation geld voor reden x, bijvoorbeeld synchroniseren tussen devices.

En dat is dus wat mij constant tegen de borst stuit: juridisch rammelt het aan alle kanten, en ze verwoorden *niets* expliciet. Alles moet je maar aannemen en hopen op het beste... En dat is dus een ruk policy. Als je ook maar enige twijfel kan hebben bij een document, is het problematisch.


@i-chat:
*zucht*
Je kon het zo te zien toch niet laten om toch maar even totaal niet onderbouwde, respectloze comments te maken he?
Jammer man. En dan noem je mij kinderlijk. :')

Wilders? Wat heeft Wilders er mee te maken? Is dat de nieuwe godwin speciaal voor Nederland ofzo? Kom op zeg.

Ja toppie dat je je eigen client kan bouwen, zeg dat tegen die paar miljoen mensen die Telegram uit de Play Store hebben gehaald en waarschijnlijk nul komma nul verstand hebben. :')
Leuk, dat schermen met opensoure... Maar je bent pas veilig als je werkelijk zo'n fork gaat gebruiken. En dat doen de meeste mensen dus niet.
Dat is dus ook naar mijn mening een waardeloos argument.
Laat ze het lekker standaard in die client inbouwen in plaats van die rare implementaties die ze nu hebben; hoeven mensen het niet te forken en is iedereen veilig! Ze willen zich toch adverteren als veilige dienst? Zorg dan ook dat dat werkelijk 100% zo is.


@dbhuis:
Dank voor je commentaar.

Hm, WhatsApp blijft WhatsApp. Behoudt dezelfde ontwikkelaars. Althans, voorlopig natuurlijk. We weten allemaal niet wat er in de toekomst gaat gebeuren.
Als je voorheen blij was met WhatsApp zie ik (nog) geen reden om er nu opeens niet meer blij mee te zijn.
Of het in de toekomst verslechterd zie ik dan wel weer :P
Maar... Het blijft een persoonlijke smaak, absoluut.
En nee, je bent nergens werkelijk veilig tegen spionage. :)


@bonyuri:
Dank voor je commentaar!


@levik7:
Hehe :P


@i-chat:
Het zit je nogal hoog geloof ik. :)
Ik ben niet anti-alternatieven. Ik ben anti-bullshit.
En "Telegram is beter voor je privacy" is bullshit.

[Reactie gewijzigd op maandag 3 maart 2014 19:41]


Door Tweakers user ajakkes, zaterdag 8 maart 2014 02:59

Een belangrijk verschil vergeet je tussen voor de overname en na de overname.

WhatsApp zal de data niet verkopen, dat mogen ze niet. Ze mogen echter wel zichzelf verkopen, waarbij de data in handen komt van het nieuwe bedrijf, een groot bedrijf dat al heel veel data heeft van heel veel gebruikers.

Het combineren van deze data levert nog meer kennis op. Hoewel ik in jouw post lees dat WhatsApp weinig data heeft, volgens jou, is de userbase of de data best wel wat geld waard voor Facebook. Anders hadden ze het niet uitgegeven.

Telegram is echter een bedrijf met een beperkt aantal werknemers. Hoewel het banden heeft met VK is het daar geen eigendom van. Data delen met deze dienst betekend dus dat ze het Sharen of Sellen. Waarbij ze het eerste niet mogen en het tweede nog maar de vraag is. Ik ken de duitse wet op dit gebied niet goed genoeg. Overigens is de duitse wet veel stricter op het gebied van privacy dan de amerikaanse.

Hoewel WhatsApp slechts gehashte nummers opslaat (en overige data tot max. 30 dagen), is het niet heel moeilijk de overige data te achterhalen, daar heeft WhatsApp alleen een adresboek voor nodig met bestaande telefoonnummers. Op dat moment mogen ze namelijk wel naam, nummer en foto opslaan.

En een rainbowtable van 10^8=100.000.000 entries voor de nederlandse markt lijkt me niet heel groot. Nee, we slaan je nummer gehashed op maar hebben wel een table waaruit blijkt welk nummer daar bij hoort.

Ze geven nergens aan dat de data die wordt verstuurd tussen de gebruikers gecodeerd wordt opgeslagen. Deze is dus tijdens deze periode eenvoudig te analyseren voor iedereen met ongeoorloofde toegang tot deze servers.

Begrijp me goed, Telegram heeft het niet veel beter voor elkaar. Maar ook WhatsApp is niet vrij van de kritiek die je op Telegram levert.

Telegram heeft zich te houden aan de Duitse wetgeving en enkel aan de Duitse wetgeving. WhatsApp moet zich ook houden aan de Amerikaanse. Ze hebben een mogelijkheid ingebouwd om data te versturen tussen 2 gebruikers die zolang de sleutel niet is onderschept niet toegankelijk is voor anderen, deze mogelijkheid is niet aanwezig in WhatsApp.

En je hebt helemaal gelijk dat de Privacy Policy Amateuristisch is opgesteld, iets over katten opnemen in deze statement zegt genoeg. Daar zullen ze inderdaad nog aandacht aan moeten besteden, mogelijk weten ze welke gaten ze hebben achtergelaten mogelijk zijn ze zich daar niet van bewust.

Bij WhatsApp weet je echter zeker dat elk gat in de policy er bewust in is gelaten, hier heeft een jurist veel aandacht aan besteed.

Door Tweakers user WhatsappHack, woensdag 12 maart 2014 03:06

@ajakkes:


Thanks voor je uitgebreide reactie!
WhatsApp zal de data niet verkopen, dat mogen ze niet. Ze mogen echter wel zichzelf verkopen, waarbij de data in handen komt van het nieuwe bedrijf, een groot bedrijf dat al heel veel data heeft van heel veel gebruikers.
Klopt, dat kan. Maar dat hebben ze niet gedaan. Althans: niet op die manier.
WhatsApp blijft een aparte legale entiteit en blijft voortbestaan zoals het nu bestaat. Het enige verschil is dat er nu afgetikt moet gaan worden aan Facebook en Facebook kan gaan pushen voor monetization van de service. (Noot: en dat zonder advertenties te plaatsen of data te minen/verkopen. Dat mag nog immer niet namelijk.)

En let op: ook bij verkoop blijft de privacy policy van kracht!
Er staat wel dat de data integraal verkocht mag worden aan een ander bedrijf in het geval van overname (al is dat nu dus niet meer nodig, het is reeds overgenomen. Al is die deal nog niet rond!) maar dan nog moet dat bedrijf zich aan de geldende privacy policy houden die stelt dat er niet rond geneusd mag worden. Dat moeten ze eerst aanpassen en prior-notice geven aan de gebruikers... :) Dat is nu echter de situatie niet eens, WhatsApp is dan wel "verkocht", maar het blijft een zelfstandig bedrijf; en ze mogen niet delen met andere bedrijven. (En het moederbedrijf kan daar niet zonder notice aan de gebruikers een uitzondering op krijgen ;))

Het ligt dus best genuanceerd, ze hebben het aardig uitgedacht.
Ik snap je gedachtengang volledig, maar denk dat je dat puntje hebt gemist in de policies.
Het combineren van deze data levert nog meer kennis op. Hoewel ik in jouw post lees dat WhatsApp weinig data heeft, volgens jou, is de userbase of de data best wel wat geld waard voor Facebook. Anders hadden ze het niet uitgegeven.
Absoluut zijn ze geld waard, immers is WhatsApp een betaalde dienst. Daar is het facebook om te doen.
Keep in mind, Facebook hoeft "slechts" $4 miljard USD terug te verdienen he... WhatsApp heeft zo'n 500 miljoen gebruikers en groeit op grote snelheid elke dag door.
Stel dat 150 miljoen op de huidige 500M betalen per jaar, heb je sowieso al 150 miljoen USD per jaar. Stel facebook gooit de prijs ietsjes omhoog na 2 jaar naar $2.50 dan is dat vanaf dat jaar alweer 375 miljoen; zo kunnen ze die 4B makkelijk terug verdienen in zo'n 10 jaar tijd, mits WhatsApp blijft groeien. Anders doen ze er 15 jaar over.

Maar de echte monetization... Dit is nog maar het tipje van de ijsberg.
Binnenkort de functie om te bellen. Dat zal eerst gratis zijn, maar of het gratis blijft? Dat moeten we nog maar zien.
Maar dat is niet alles... WhatsApp wil ook mogelijk meer met bedrijven deals gaan sluiten. Niet om data te verkopen, mind you! Maar bijvoorbeeld de mogelijkheid om onder bedrijfsnaam te zitten op WhatsApp in plaats van met een telefoon nummer, en dan **met toestemming van de gebruiker** berichten sturen. (Je moet dan eerst je nummer aan het bedrijf geven en expliciet toestemming verlenen dat ze je op dat nummer mogen bereiken. WhatsApp zal dat telefoonnummer niet geven of wat dan ook, dus er wordt *geen* data verkocht!) Voorbeelden die genoemd werden waren postbedrijven, airlines en taxi bedrijven. Onder andere om bijvoorbeeld een taxi op te roepen, of flight information te krijgen.

... Weet je hoe belalachelijk veel het scheelt voor enorme bedrijven die niet langer internationaal SMSjes hoeven te dokken maar het gewoon via WhatsApp kunnen doen, zonder dat de gebruiker kan reageren? (Dus net als nu als je een SMSje krijgt met als afzender "PostNL", zonder telefoonnummer of met een shortcode.)
Stel dat ze 50 miljoen smsjes per jaar uitwisselen a 0.10 per bericht. Dat kost ze $5.000.000. Stel WhatsApp zegt "Nou, met dat volume kunnen wij het bieden voor $2.000.000"; tsjakka. Bedrijf blij, WhatsApp blij, telco's boos. Stel dat er 1000 bedrijven wereldwijd zijn die dat doen, dan levert dat alleen al 2 miljard op...
(En ja dit is even ter illustratie he. Natuurlijk zullen verre van alle bedrijven $2M gaan betalen, en misschien wordt het juist vele malen goedkoper zodat ze heel veel bedrijven aantrekken en ook het "unlimited" gedoe daar gaan toepassen. ;) Bijv: $2500 per maand, ongeacht volume; maar je snapt wel wat ik bedoel: dat soort diensten leveren gewoon enorm veel geld op, en zijn *bijzonder* aantrekkelijk voor bedrijven.)

Kortom: er is nog zat winst uit WhatsApp te persen, zonder de klanten lastig te vallen (sterker nog, wat hierboven beschreven staat is enkel nuttig voor de gebruikers.) en ook zeker zonder advertenties te plaatsen of data te minen/doorverkopen.
Facebook heeft een bijzonder goede investering gemaakt en kan nog veel centen gaan verdienen aan WhatsApp. Dikke winsten.

In dit geval zijn de gebruikersaantallen van WhatsApp dus niet boeiend voor Facebook vanwege de data: maar vanwege de monetization mogelijkheden.
En daarom ben ik ook wel blij dat WhatsApp een betaalde dienst is. Ik ben liever de gebruiker, in plaats van het product. ;)
Telegram is echter een bedrijf met een beperkt aantal werknemers. Hoewel het banden heeft met VK is het daar geen eigendom van. Data delen met deze dienst betekend dus dat ze het Sharen of Sellen. Waarbij ze het eerste niet mogen en het tweede nog maar de vraag is. Ik ken de duitse wet op dit gebied niet goed genoeg. Overigens is de duitse wet veel stricter op het gebied van privacy dan de amerikaanse.
WhatsApp ook. Er werken "slechts" zo'n 35 mensen, wat voor een bedrijf dat zo groot is behoorlijk bizar is.

Met die duitse wet ben ik het met je eens, ook daar weet ik niet precies van hoe dat zit; maar in legale termen kloten is altijd een probleem, daarom wil ik persoonlijk altijd dat privacy policies "unambigous" opgesteld zijn, zodat er totaal geen twijfel mogelijk is en het niet een ellenlange rechtszaak kan gaan worden als er iets mis gaat. En dan nog het risico te lopen te verliezen. ;) Snapje?
Hoewel WhatsApp slechts gehashte nummers opslaat (en overige data tot max. 30 dagen), is het niet heel moeilijk de overige data te achterhalen, daar heeft WhatsApp alleen een adresboek voor nodig met bestaande telefoonnummers. Op dat moment mogen ze namelijk wel naam, nummer en foto opslaan.
Hier volg ik je niet ben ik bang. Bedoel je dat ze de persoonlijke informatie kunnen opvragen uit je telefoonboek...?
Ja, dat kunnen ze. Maar dat mogen ze niet. Dan violaten ze de bindende privacy policy. Naam, nummer en foto mag dus niet met elkaar gelinkt worden. (Behalve op je toestel zelf!)
En een rainbowtable van 10^8=100.000.000 entries voor de nederlandse markt lijkt me niet heel groot. Nee, we slaan je nummer gehashed op maar hebben wel een table waaruit blijkt welk nummer daar bij hoort.
Nou, die hashing is in mijn ogen eigenlijk louter relevant voor het geval dat WhatsApp gehacked zou worden. Ze mogen mijn data al niet inzien en/of doorverkopen (en vooral dat eerste is 100% onbekend wat Telegram doet op dat gebied :(), dus dat zit wel snor. Die encryptie blijft dus over voor veiligheid op de opslag bij WhatsApp. En die kunnen sowieso de link leggen tussen jou account en je bijbehorende nummer natuurlijk, al staat in de policies dat ze dat niet doen. ("Stripped of personal data")
Voor telefoonnummers vind ik dat even een ander verhaal dan permanente opslag van al je chats, afbeeldingen en videos zoals Telegram dat doet. Dat zou in theorie bij een hack een heel stuk moeilijker te decrypten zijn omdat een rainbow table niet mogelijk is; maar Telegram slaat de sleutel op bij de data: dus heb je geen reet aan die hele encryptie. :P
Met telefoonnumers: daar bestaan volgens mij sowieso al complete tabellen voor met alle mogelijke nummers van alle landen. Het enige wat een hacker te weten zal komen als ze je nummer decrypten is het volgende: dat jou telefoonnummer WhatsApp heeft. :P Dat lijkt me nou niet bijzonder boeiende informatie...

Maar uiteraard, als je weet welk algoritme (en evt salt) gebruikt wordt (en ik weet niet of dat bekend is... Ga ik es opzoeken, dacht van wel.), dan is het verdomde simpel om de hashing om te draaien via tables. Helemaal mee eens.
Maarja, dan is het enige wat ze hebben een paar nummers zonder naam, email adres, et cetera of wat dan ook erbij. Ja, zelfs met wie je contacten hebt is onbekend. (!behalve bij groepsgesprekken! Dat is het enige waar ik nog kan bedenken "Okee, daar kan je van achterhalen wie bij elkaar in welke groep zat als je alle hashes hebt decrypt.")

Ik vind dat dus wel een heel ander iets als de rest van de data voor altijd opslaan... Met decryptie sleutel erbij. :')
En WhatsApp moet sowieso je nummer om kunnen zetten naar een hash. Als je de support mailt om je nummer te wijzigen (kan nu via de app) of omdat er een fout is opgetreden bij betaling, dan wordt je service netjes verlengd. Maar jij geeft ze hun telefoonnummer; ze moeten dus wel de hash kunnen opzoeken en dat kan enkel als ze het tel.nummer kunnen omzetten naar hash en die opzoeken.

Dus: zeker, WhatsApp kan bij die gegevens omdat ze hashes kunnen genereren. Maar ze mogen dat verder niet gebruiken of koppelen aan jou naam. Ook zij kunnen er dus verder vrij weinig mee daarna. :) (Tenzij de policy wijzigt...) Dat is toch wel een fijn gevoel; en zeker gezien het bij Telegram (om nog even te vergelijken...) geheel *unencrypted* wordt opgeslagen *inclusief* alle persoonlijke data! (Naam, adres, email, etc. als je dat in je lijst hebt staan.) Nee, dan liever enkel een hash die een hacker kan laten zien of je wel of geen WhatsApp hebt en verder niets. :P
Ze geven nergens aan dat de data die wordt verstuurd tussen de gebruikers gecodeerd wordt opgeslagen. Deze is dus tijdens deze periode eenvoudig te analyseren voor iedereen met ongeoorloofde toegang tot deze servers.
Klopt, ze stellen enkel dat die vrij snel worden ontdaan van persoonlijke metadata en zsm worden verwijderd. Dat maakt de attack vector een stuk kleiner dan als Telegram gehacked zou worden. Als iemand *constant* toegang zou hebben tot de WhatsApp servers: akkoord, als er dan geen encryptie op rust (ik weet het ook niet, eerlijk gezegd... Ga het eens navragen.) kan daar een aanval op worden uitgevoerd en de data gestolen worden.
Begrijp me goed, Telegram heeft het niet veel beter voor elkaar. Maar ook WhatsApp is niet vrij van de kritiek die je op Telegram levert.
Oh, zeker niet. Dat stelde ik ook niet, ik stel enkel dat WhatsApp het wat beter voor elkaar heeft; zeker op het gebied van een goede privacy policy: eg, wat doet WhatsApp absoluut *niet* met je data. (Wat een hacker doet is niet hun schuld natuurlijk, mocht er ooit iemand doorbreken... En om eerlijk te zijn zie ik die kans tegenwoordig bijzonder klein in dat er ooit iemand door zal breken; zeker na zelf wat tests uitgevoerd te hebben en wat heen weer gebabbeld te hebben met WhatsApp. Al wil ik niet pretenderen dat ik super goed ben in lekken vinden oid. Maar het ziet er so far zeer goed uit bij WhatsApp op het gebied van veiligheid.)

Maar, bottom line is: absoluut, WhatsApp kan zeker nog verbeterd worden, al hebben ze privacy technisch alles super op orde. Ik probeer er zelf ook actief aan mee te werken. Vorige week nog een kleine bug helpen fixen (geen veiligheid bug) en nu een mogelijk lekje aan het analyseren. (Noot: geen gevaarlijk lek, meer een default behavior van de app die wat beter uitgevoerd kan worden om de veiligheid te vergroten.)
Deze post was eigenlijk ook niet echt per definitie om aan te tonen dat WhatsApp alle zaakjes *geweldig* op orde heeft, maar meer om te laten zien dat Telegram in tegenstelling tot wat veel mensen hier roepen (gelukkig nu voornamelijk: riepen) absoluut niet de privacy hemel is die men claimt dat het is, en deels om aan te tonen dat WhatsApp niet de barslechte app is die een enorme inbreuk maakt op je privacy; iets wat diezelfde mensen ook vaak roepen terwijl het niet waar is. ;)
WhatsApp is zo slecht nog niet, en Telegram is in ieder geval geen haar beter; dat was mijn irritatie factor: mensen die roepen dat Telegram super veilig is en veeeeel veiliger dan WhatsApp, en dan voornamelijk mensen die er totaal geen verstand van hebben. Dan denk ik: sjesus, wat voor eikels lopen er rond op deze aardbol dat ze mensen een app gaan aansmeren onder het mom "super veilig", terwijl dat niet waar is? De a-technische medemens neemt het meteen aan "want Facebook!", maar controleren dan vervolgens niet ff of de app waar ze naartoe rennen eigenlijk wel zo veilig is... En dat... Vind ik gewoon enorm dom. Zeker omdat ze het vervolgens ook voor diezelfde reden gaan pluggen bij vrienden, terwijl het louter iets is dat ze, oh de ironie, op Facebook hebben gelezen. Kijk op z'n minst ff of de app waar je naar toe wilt verhuizen (al zijn de meeste al lang en breed weer terug op WhatsApp :P) echt wel zo veilig is als andere mensen je proberen wijs te maken. That's all, beschermen die gebruikers! :)
Enfin, blabla, even terug naar de reactie op je bericht nu maar :P
En je hebt helemaal gelijk dat de Privacy Policy Amateuristisch is opgesteld, iets over katten opnemen in deze statement zegt genoeg. Daar zullen ze inderdaad nog aandacht aan moeten besteden, mogelijk weten ze welke gaten ze hebben achtergelaten mogelijk zijn ze zich daar niet van bewust.

Bij WhatsApp weet je echter zeker dat elk gat in de policy er bewust in is gelaten, hier heeft een jurist veel aandacht aan besteed.
Ik weet het ook niet bij Telegram of ze het bewust hebben gedaan. Ik heb ze al een mailtje gestuurd hierover, en ga het nog 1 keer doen.
Als ik dan weer geen reactie krijg, trek ik m'n conclusies... Of die nu fout zijn of niet: dan moeten ze maar antwoorden op zulke belangrijke punten.
En ja... Dat katten verhaal bij Telegram: dat is dus precies waardoor ik nog extra argwaan kreeg. Ik vond het een afleidingmanouvre. Call me paranoid, maar ik zat te lezen en werd al steeds verbaasder over hoe summier het was en hoe het leek alsof het expres heel losjes verwoord was met een woordkeuze waarbij je enorme twijfels kan trekken als je het letterlijk gaat lezen en tussen de (witte) regeltjes in leest, en dan komt er nog eens dat katten statement waardoor veel mensen denken "haha, cool" en vergeten wat ze nu eigenlijk aan het uitzoeken zijn of nu hun aandacht verliezen... Ik werd er niet vrolijk van in ieder geval. :P "Filthy rats!", schoot onder andere door m'n gedachten heen. ;)


En ja, dat klopt zeker! Ik heb echter persoonlijk geen gaten bij WhatsApp kunnen ontdekken to be honest. :)
Enige waarbij ik vraagtekens kon zetten was de retentie van bijlagen, maar dat leek wat duidelijk een "cover our ass up" te zijn omdat de 30 dagen retentie periode al genoemd staat; maar ze natuurlijk niet kunnen garanderen of iemand anders jou data doorstuurt waardoor er toch weer een kopietje van jou data op de server staat; alleen weet de server niet dat het van jou is (geweest). Daarom kunnen ze jou versie misschien wel willen verwijderen, maar stuurt iemand anders het weer door, et cetera. Om beschuldigingen te voorkomen *moeten* ze dan wel wat vaagjes zijn over wat die termijn nou precies is, ondanks het feit dat ergens anders weer 30 dagen staat als "general retention policy" waarnaar verwezen wordt. Dus het is wel veilig, maar... Ze moesten hun reet daar indekken, en dat snap ik wel.

[Reactie gewijzigd op woensdag 12 maart 2014 03:35]


Reageren is niet meer mogelijk