De meeste werknemers beseffen niet hoeveel gevoelige informatie zij onbewust prijsgeven via LinkedIn, FaceBook en Twitter. Dat zegt Herbert Thompson van People Security, een New Yorks bedrijf dat trainingen geeft om werknemers meer bewustzijn bij te brengen op het gebied van beveiliging. Het overmatig delen van informatie via sociale netwerken vormt volgens hem de voedingsbodem voor een nieuw type aanvallen op bedrijven.
'De engste methode is het verzamelen van kleine beetjes informatie over een groep mensen die tot één groep, bijvoorbeeld een bedrijf behoort.' Oplettende toeschouwers kunnen volgens Thompson veel leren van het bestuderen van bijvoorbeeld LinkedIn-profielen.
‘Als tien mensen uit het management van één bepaald bedrijf opeens via LinkedIn allerlei anderen aanbevelen of zelf aanbevelingen krijgen, dan zegt dat iets over de stabiliteit van dat bedrijf', zo vertelt hij op een beveiligingsconferentie van RSA in Londen. 'En als tien mensen van bedrijf X plotseling met tien mensen van bedrijf Y zijn verbonden, allemaal tijdens de laatste maand, dan kan dat wijzen op een naderende fusie of overname.'
De aanwezigheid van tools, die speciaal gebouwd zijn om relatienetwerken grafisch weer te geven, vergemakkelijken dit soort analysewerk volgens Thompson nog eens.
Werknemers ontberen paranoia
Daarnaast ontberen Thompson veel werknemers een gezonde dosis paranoia, als het gaat om het gebruik van sociale netwerken. ‘Werknemers weten dat ze informatie over bijvoorbeeld het aannamebeleid en de gezondheid van hun bedrijf niet naar buiten mogen brengen, maar plaatsen wel teksten als ‘we verliezen klanten, daarom moet ons bedrijf mensen ontslaan' op FaceBook of Twitter.'
Volgens Thompson is er over individuen online allerlei informatie te vinden, die ogenschijnlijk onschuldig is, maar door kwaadwillenden kan worden gecombineerd om illegaal toegang te krijgen tot bijvoorbeeld online mailaccounts. Vooral wachtwoord-resetschema's – persoonlijke vragen die gebruikers van online diensten moeten beantwoorden om een nieuw wachtwoord toegestuurd te krijgen – zijn hem een doorn in het oog. ‘Dat was van oorsprong een goed idee. Want bijna niemand kon de naam van je eerste huisdier of favoriete restaurant kennen. Alleen is die informatie nu vaak op FaceBook te vinden. En als je zelf wel een goede datahygiëne hebt, dan hebben je familie en kennissen dat misschien wel niet.'
@RV: een beetje last van achtervolgingswaanzin? Ook het idee dat je afgeluisterd wordt via radio 1?
Dat diensten gebruik maken van beschikbare info, ja. Dat ze ze zelf met dat doel oorspronkelijk hebben ontwikkeld? Klinkt op z’n minst ongeloofwaardig.
@o_f_course:Nope, geen afluister en achtervolgings gekte 🙂 Ik ben gewoon zeer bewust van wat je NOG MEER zou kunnen doen met alle gegevens van iedereen die online staan her en der over het internet.
Google zelf eens op ‘social networking analyse” of “IM traffic datamining” en kijk eens wat er allemaal ontwikkeld word aan applicaties om allerhande internet analyses te kunnen uitvoeren op social networks, IM traffic, remote email sniffing.
Links:
http://www.thisismoney.co.uk/credit-and-loans/id-fraud/article.html?in_article_id=422517&in_page_id=159
http://www.networkworld.com/news/2009/020909-slapped-in-the-facebook-social.html
http://news.zdnet.co.uk/security/0,1000000189,39291035,00.htm
Social Network Analysis (SNA) applicaties:
http://www.orgnet.com/sna.html
http://www.insna.org/
http://www.slideshare.net/DERIGalway/valdis-krebs-social-network-analysis-19872007
Ik herken het gestelde risico heel goed. Een heleboel kleine onschuldige beetjes informatie zijn bij aggregatie soms heel waardevol. Dit gaat trouwens veel verder dan LinkedIn, dit kun je betrekken op het hele internet. En het is goed om als bedrijf daarbij stil te staan.
Social networking houd je niet tegen. Je zult je mensen dus vooral bewust moeten maken over de mogelijke gevolgen van informatie publiekelijk delen.
En voor wie het weten wil: Ja, ik heb een profiel op LinkedIn.