Odido stuurde in het geheim klantgegevens van routers naar Amerikaans AI-bedrijf
Routers van telecomprovider Odido hebben informatie over apparaten van klanten doorgestuurd naar een Amerikaans technologiebedrijf. Dat gebeurde zonder dat klanten hierover waren geïnformeerd. De gegevens kwamen volgens ethisch hacker Sipke Mellema terecht bij het Amerikaanse AI-bedrijf Lifemote, meldt De Telegraaf.
Het gaat onder meer om zogenoemde MAC-adressen. Dat zijn unieke identificatienummers van apparaten die met internet zijn verbonden. Ook namen van apparaten die op het wifinetwerk staan, werden doorgestuurd. Voorbeelden zijn namen als ‘Telefoon van’ of ‘Apple TV in de woonkamer’.
In het privacybeleid van Odido staat wel dat bepaalde gegevens uit het modem worden verzameld. Maar volgens de berichtgeving staat er niet bij dat deze informatie ook naar een Amerikaanse derde partij wordt gestuurd. Nadat hierover vragen werden gesteld door De Telegraaf lijkt Odido de gegevensoverdracht inmiddels te hebben stopgezet.
Ook gegevens van omliggende netwerken verzameld
Volgens de informatie die naar buiten kwam, ging het niet alleen om apparaten binnen het eigen netwerk van klanten. De routers verzamelden ook gegevens over wifinetwerken in de directe omgeving. Daarbij werden eveneens namen en MAC-adressen van die netwerken geregistreerd.
Zelfs tijdelijke verbindingen konden worden opgeslagen. Wanneer iemand bijvoorbeeld een hotspot startte met een mobiele telefoon, werd dat ook geregistreerd door de router. Deze vormen van dataverzameling stonden volgens de berichtgeving niet vermeld in het privacybeleid van het telecombedrijf.
Volgens ethisch hacker Sipke Mellema kan het verzamelen van zulke gegevens op grote schaal risico’s opleveren voor de privacy van gebruikers. Hij waarschuwt tegenover De Telegraaf voor mogelijke gevolgen als zulke informatie in een grote database terechtkomt. ‘Een database met al deze metadata zou kunnen worden gebruikt om bij te houden waar apparaten zijn geweest.’
Hij legt uit dat zo’n systeem locatie-informatie kan opleveren. ‘Zodra je het MAC-adres van iemand weet, weet je bij welke routers iemand in de buurt is en dus waar iemand zich ongeveer bevindt.’ Volgens hem kan dat problematisch worden wanneer zulke gegevens verkeerd worden gebruikt.
Odido zelf wil niet inhoudelijk reageren op vragen over het delen van MAC-adressen met het Amerikaanse bedrijf. De provider verwijst alleen naar de privacyverklaring op de eigen website. ‘Ons privacystatement, waaraan we voldoen, staat op onze website.’
De Autoriteit Persoonsgegevens benadrukt dat organisaties voorzichtig moeten omgaan met dit soort informatie. Volgens de toezichthouder vallen ook MAC-adressen onder persoonsgegevens. ‘Ook MAC-adressen zijn persoonsgegevens. We noemen dit indirect identificerende persoonsgegevens.’
Volgens de Autoriteit Persoonsgegevens mogen organisaties gegevens niet zomaar met andere partijen delen. ‘Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen.’ Dat kan alleen onder bepaalde voorwaarden. ‘Heeft u voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mag u de gegevens alleen verstrekken als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor u de gegevens heeft verzameld.’
Vorige maand kreeg Odido ook te maken met een groot datalek. Daarbij werden gegevens van meer dan zes miljoen accounts buitgemaakt. Het ging om informatie van zowel huidige als voormalige klanten. Sinds het bedrijf weigerde losgeld te betalen, zetten hackers dagelijks delen van de gestolen data online.
