Het zij wat het zij, maar dankzij salesflare en detect.email hebben we een fijne discussie in onze contreien over boeiende zaken. Hoera!
Ik ben er laat in gevallen, daarnet eigenlijk, en ik ben helemaal niet zeker dat ik al alle parameters ken, maar ik voelde mezelf wel meteen in een positie glijden en dus (if nothing else) dient deze blog als milde zelfreflectie.
Laat ik na zoveel nuance en zalving dan alleen nog afsluiten met een poging om iedereen effectief tegen de haren in te strijken.
Hoe indrukwekkend en leerrijk ik het technisch onderzoek van openminds vind, zo onzorgvuldig opiniërend vind ik de creatie van de fud-sfeer verderop in de blog. De relatie met spamming duidelijk leggen, het gevaar dat adressen kunnen/worden misbruikt ïnsinueren... Hm.
Ik zie die verbanden ook, en niets mis mee om ze onder de aandacht te brengen van lezers die ze misschien niet spontaan leggen. Maar adressen vinden is echt niet hetzelfde als ze effectief onterecht gebruiken. En het helpt als je de dingen die je duidelijk wel ziet en aantoont eerlijk blijft scheiden van wat je niet zeker weet en niet hebt aangetoond. Diezelfde lezers (die de verbanden al niet hadden gezien) kunnen net ook je extra duidelijkheid op dat punt gebruiken.
Anderzijds is het natuurlijk aan Salesflare om duidelijkheid te scheppen naar de consument wat ze verder met de gevonden adressen doen of niet doen. Helemaal goed: ook die doelgroep er mild op wijzen wat zij er 'maar' mee mogen doen? Wie tegenwerpt dat de service zichzelf dan al teveel in vraag stelt, geeft gewoon toe aan mijn *shrug* :)
Wat de salesflare-strategie is achter de "nu snel de stekker er uit" om wat olie op de golven te gooien kan ik moeilijk inschatten. Maar de manier waarop (die headline vooral !) vind ik ronduit hilarisch. Ik slaag er niet in de link met open data te zien, tenzij als een poging om steun te oogsten bij de open-data-community voor iets wat me in essentie een privé-bedrijf-issue lijkt.
Dit nu een spin geven als detect.email zijnde oorspronkelijk en wezenlijk louter en alleen begaan met ons aller open-data noden? Nee, dat maak je bij mij alleen hard als je je hacker truuks in een open paper beschrijft (co authoring met de Frank!), de detectie-code ook open op github hebt staan, alle (niet privacy gevoelige) bedrijfsgegevens rucksichtlos op het web zwiert, en oja: een LDAP server opzet waar we publiek en technisch efficiënt al jullie email-adressen kunnen vinden ;)
Tenslotte omtrent de hoop van Frank op een kritischer houding bij heel wat (betrokken) partijen in het landschap enkel deze blije zucht: "en ik die dacht de enige overblijvende naïeve kloot te zijn" :)
Ik ben er laat in gevallen, daarnet eigenlijk, en ik ben helemaal niet zeker dat ik al alle parameters ken, maar ik voelde mezelf wel meteen in een positie glijden en dus (if nothing else) dient deze blog als milde zelfreflectie.
*shrug*
Eerlijk waar, dat was eigenlijk mijn eerste reflex. Ik gebruik al een tijdje de plugin van rapportive zonder veel schroom. Het voorziet binnenkomende e-mails (op basis van afzender adres) met wat geoogst kan worden uit social-media-api's. Niets privacy issue wat mij betreft: de betrokken email draagt spontaan het adres van de verzender. Die kan niet veel anders dan dat stuk informatie met mij delen als zij of hij met me in dialoog wilt.
Alle extra data die de plugin voor mij opsnort op het web (naam, smoelwerk, de laatste tweet, ...) is gewoon publiek beschikbaar. De tool zorgt enkel voor samenbrengen en handige verpakking.
Ik had dus slechts snel en vluchtig naar diene detect.email eens gekeken en al bijna vergeten.
Tot de "we stoppen er even mee" tweet. Eerst van mijn stoel vallen, dan ogen opentrekken en verder nakijken: Dergelijke tool kun je toch bezwaarlijk een gevaar voor de privacy noemen?
privé is privé
Versta me niet verkeerd: privacy als principe is absoluut. Niet iets waarover we met zijn allen een eigen mening en keuze kunnen maken.
Niet ter discussie: iedereen heeft het recht om zelf te controleren in hoeverre gegevens van haar of hem verspreid worden met welke andere personen of partijen. Dus, ja, er is een persoonlijke keuze te maken: Hoe ver ga je zelf in vrijgave of bescherming. Maar dat iedereen zelf die keuze moet kunnen maken staat niet ter discussie. Niemand kan zijn eigen visie op "privé genoeg" tot norm voor iedereen anders opleggen. Of erger: het in hun plaats doen.
Maar goed.
Praktisch werkt communicatie van achter een sluier van anonimiteit niet (het wekt weinig vertrouwen). Dus komen we meestal vanzelf tot een natuurlijke balans. Bewust dat interacties minstens de vrijgave van een retour-adres onderstellen. Een kwestie van gepast vertrouwen.
goed fatsoen
En laat ons eerlijk zijn: een kwestie van goed fatsoen.
Ik zal wat ouderwets zijn, maar een slogan als "nooit meer bedelen om een e-mail adres" is dan ook op zijn liefst gezegd "ongelukkig gekozen". Het gaat in deze wereld nog altijd om menselijk contact. Dat je dat eerst probeert te bereiken (al bedelend zo het moet) voor je mijn mailbox vult met alle soorten ongein vind ik nog steeds gepast.
Vandaar ook mede mijn oorspronkelijke *shrug*: De detect.email service zal aan mij geen spontane klant hebben. En wie hun service nodig heeft om in mijn aandachtsruimte te geraken wens ik bijzonder veel succes toe :)
de andere bril
Mijn hoofdstelling blijft wel dat we een tool die handig verpakt en samenbrengt wat her en der te vinden is, niet kunnen aanvallen op het (elders) beschikbaar zijn van die data.
Neem dit gedachten-experiment:
Wat als detect.email een prachtig nieuw project was geweest van een of andere Nationale CyberBurgerWacht, zó opgezet dat ze de hacker-truken-van-de-foor blootleggen én gebruiken om te tonen hoe ontzettend makkelijk het is om tegenwoordig zowat ieders digitale doopceel te lichten? Een volksverheffend project om iedereen aandachtig te maken omtrent de grenzen van zijn eigen privacy!
Als je tegen dit project plots geen privacy issues meer opwerpt heb je helaas ergens een juridische denkfout gemaakt.
Dat vrouwe justitia blind is gaat namelijk niet enkel over een neutrale houding, ongeacht publieke/zichtbare kenmerken van de betrokkenen. Veel belangrijker is dat de wijze dame ook nooit in iemands hoofd kan kijken: het hele juridisch systeem kan alleen rekening houden met gestelde daden en acties, niet met de (vermeende) intenties of de beweegredenen.
Dat vrouwe justitia blind is gaat namelijk niet enkel over een neutrale houding, ongeacht publieke/zichtbare kenmerken van de betrokkenen. Veel belangrijker is dat de wijze dame ook nooit in iemands hoofd kan kijken: het hele juridisch systeem kan alleen rekening houden met gestelde daden en acties, niet met de (vermeende) intenties of de beweegredenen.
Kortweg: als de hypotethische CyberWatch zoiets mag, dan Salesflare ook.
lettertekens, nummers en andere symbolen (over mij)
Blijft de vraag of de gestelde daden effectief een aanslag zijn op de privacy of niet.
Ik ben geen expert in de huidige wetgeving, maar wat mij betreft zijn we dat in "these modern times" met zijn allen niet. We zijn IMHO nog heel hard op zoek naar hoe we met dit soort vragen en kwesties moeten omgaan.
Wat natuurlijk niet wil zeggen dat er nu geen geldende wetten zijn die best gevolgd worden. Laat de expert in kwestie me dus maar op de vingers tikken wat betreft de huidige toestand van de wet.
Maar in dit verhaal boeit me dat veel minder dan wat ze zou moeten zijn :)
Ik ben geen expert in de huidige wetgeving, maar wat mij betreft zijn we dat in "these modern times" met zijn allen niet. We zijn IMHO nog heel hard op zoek naar hoe we met dit soort vragen en kwesties moeten omgaan.
Wat natuurlijk niet wil zeggen dat er nu geen geldende wetten zijn die best gevolgd worden. Laat de expert in kwestie me dus maar op de vingers tikken wat betreft de huidige toestand van de wet.
Maar in dit verhaal boeit me dat veel minder dan wat ze zou moeten zijn :)
Ik wordt dus even heel filosofisch sceptisch als ik deze uitlaat lees.
Persoonsgegevens. Iemand vertelt me straks ongetwijfeld wat de strikt duidelijke juridisch technische definitie is. Maar wanneer worden gegevens eigenlijk persoonsgegevens?
Naar mijn aanvoelen lijkt me dat pas als je weet:
- op welke persoon ze betrekking hebben
- op welke manier
Kijk. Er hangt een nummer aan een huis, en een naambordje op het eind van de straat. Het adres is een samenstelling van lettertekens. Als je de moeite doet om langs te komen dan kun je kennis nemen van het feit dat dat adres bestaat: er staat een huis. Publiek verzamelbare data toch? Wanneer wordt dat "mijn adres/mijn huis"? Wanneer heb ik er terecht moeite mee dat iemand daarmee aan de slag gaat?
Ik heb ook een telefoonnummer dat at random zomaar kan gebeld worden. Uit beleefdheid (zo ben ik het geleerd) neem ik zelfs op met spontane vermelding van mijn naam. Maar als het masker van de televerkoper afvalt dan is 10" later het gesprek afgelopen. Wat was er dan onwettig? Ook al vond ik het gebeuren zelf eerder onfatsoenlijk :)
In deze wereld is mijn persoon sowieso ergens een digitale avatar die bestaat uit aan elkaar gekoppelde gegevens waaruit iemand zich mij als persoon kan gaan voorstellen. Wanneer is dat daadwerkelijk schadelijk? Wanneer is dat beeld dicht genoeg "mij"?
Wat mij betreft moeten we daarop niet wachten denk ik. Teruggrijpend naar het recht om mijn eigen privacy-grenzen te trekken moet duidelijk zijn dat ik zelf moet kunnen controleren wie wat van me weet en bijhoudt. Én dat de default daarin moet zijn:
- niet meer en niet langer dan nodig is voor de door beide partijen aangezochte interactie te onderhouden.
- en dat derden daar absoluut geen uitstaans mee hebben.
Maar een email-adres op zichzelf. Tja, dat lijkt mij een resem symbolen die toevalligerwijs tot mijn mailbox leiden.
Anders gesteld: ik ben niet mijn mailadres.
email-identity
Helaas is het wel zo dat meer en meer de toegang tot mijn mailbox de basis is voor ontzettend veel digitale identiteit. De grote vier g+/li/tw/fb hebben allemaal een authenticatie systeem dat essentieel gekoppeld is aan je email-adres. Via hun social-media-api's worden ook best wel wat gegevens gelekt naar externe partijen. Met mijn goedkeuring.
Het virale spel dat ze spelen: "we doen er met z'n allen in mee omdat we er met z'n allen in meedoen" doet ons een oogje dichtknijpen als we de vele "xyz vraagt toegang tot je abc" schermpjes met een schouderophalend eenvoudig klikje OK-en-weg doen.
Teruggrijpend naar mijn eerder CyberBurgerWacht-idee: we verdienen met z'n allen wel wat opvoeding op dit punt.
rook
Enter into the discussion dit fijn stukje onderzoekswerk van Frank van Openminds. Te verwachten uit die hoek is bedachtzame kwaliteit, dus at readers discretion: "met aandacht te lezen". Wees gerust: die aandacht wordt beloond!
Miljaar. Ja. Hm. Goh.
Frank heeft niet alleen fijn en helder werk geleverd, hij heeft ook (grotendeels) gelijk.
Er is zeker rook als je ziet hoe dat ding in zijn werk gaat. Dit is meer dan wat ik zelf vermoedde. Meer dan zomaar de social-media-api's gebruiken om wat slimme publieke data te capteren en samen te brengen.
Dit is vooral ook:
- slim social behaviour engineering: de gangbare email-patronen uitproberen
- technische hackerij: adressen uitproberen tov de mail-delivery-api (SMTP)
Maar laat ons toch eerlijk zijn: het HELO-domein, het persoonlijke adres van, en zelfs het blacklisted ip adres van de server: dat zijn eigenlijk allemaal technisch oplosbare dingesen, die men slim en makkelijk anders had kunnen (en vermoedelijk ook zullen) aanpakken. Startups vluchtend vooruit met een beta waar hier en daar de verf nog van nat is. Ze bedanken je vast voor de tips. Dáár gaat het niet echt om, toch?
Nee, voor mij is het echte kernpunt dat iemand een mail-delivery api misbruikt om eigenlijk een directory-search te implementeren.
Je kunt wat mij betreft in deze nog net de sluwheid ervan appreciëren, maar technisch-fatsoenlijk is het toch niet echt: daarvoor dienen die dingen niet. Er bestaan wel degelijk API's voor directory services. Dat die weinig gangbaar publiek geplaatst worden om (bedrijfs-)adressen doorzoekbaar te maken is geen reden om het op deze manier te gaan doen.
maar vuur?
Helaas blijf ik wel twijfelen of we op dit punt dan wel van een misdrijf kunnen spreken. (elks eigen fatsoenlijkheidsnormen respecterend)
Techniek is wat het is, en het is niet omdat het niet zo bedoeld is, dat het - nu het plots blijkt te kunnen - ook niet mag.
Maar evengoed: ook de jonge ingenieurs van een startup moeten weten dat we met enige (technische) beroepseer wel veel beter (efficiënter/ecologischer) moeten kunnen dan zo achter de schermen onder mekaars duiven te gaan liggen schieten, toch?
Enerzijds voelt een detect.email zich door de afwezigheid van de directory-service voor email-adressen genoodzaakt om het dan maar zo te doen. Ze worden daarin vast gesterkt doordat iedereen toch dezelfde email-patronen (voornaam.achternaam@) hanteert: want dat is niet het gedrag van iemand die angstvallig die adressen probeert privé en niet-detecteerbaar te houden?
Anderzijds leven we nu al in een spam-overflow tijd waarin ieders mail-server al genoeg ongehoorde belasting te verwerken krijgt. Dus nee, die willen we niet ook nog moeten gaan over-dimensioneren voor dit soort test-al-deze-mogelijke-adres-combinatie-spelletjes.
Dus liever een open discussie over het deftig zoekbaar en publiek maken van email-adressen, zeker in een B2B-bedrijfscontext, maar waarom niet in een controleerbare privé-context ook?
Voor zij die het zich herinneren: Dus iets zoals een mens die vroeger kon beslissen om wel of niet met zijn naam en adres in de witte telefoonboek te gaan staan?
Misschien moeten we het gewoon rustig daarover hebben, en dat op de juiste manier bouwen?
fud en open-zealotism
Hoe indrukwekkend en leerrijk ik het technisch onderzoek van openminds vind, zo onzorgvuldig opiniërend vind ik de creatie van de fud-sfeer verderop in de blog. De relatie met spamming duidelijk leggen, het gevaar dat adressen kunnen/worden misbruikt ïnsinueren... Hm.
Ik zie die verbanden ook, en niets mis mee om ze onder de aandacht te brengen van lezers die ze misschien niet spontaan leggen. Maar adressen vinden is echt niet hetzelfde als ze effectief onterecht gebruiken. En het helpt als je de dingen die je duidelijk wel ziet en aantoont eerlijk blijft scheiden van wat je niet zeker weet en niet hebt aangetoond. Diezelfde lezers (die de verbanden al niet hadden gezien) kunnen net ook je extra duidelijkheid op dat punt gebruiken.
Anderzijds is het natuurlijk aan Salesflare om duidelijkheid te scheppen naar de consument wat ze verder met de gevonden adressen doen of niet doen. Helemaal goed: ook die doelgroep er mild op wijzen wat zij er 'maar' mee mogen doen? Wie tegenwerpt dat de service zichzelf dan al teveel in vraag stelt, geeft gewoon toe aan mijn *shrug* :)
Wat de salesflare-strategie is achter de "nu snel de stekker er uit" om wat olie op de golven te gooien kan ik moeilijk inschatten. Maar de manier waarop (die headline vooral !) vind ik ronduit hilarisch. Ik slaag er niet in de link met open data te zien, tenzij als een poging om steun te oogsten bij de open-data-community voor iets wat me in essentie een privé-bedrijf-issue lijkt.
Dit nu een spin geven als detect.email zijnde oorspronkelijk en wezenlijk louter en alleen begaan met ons aller open-data noden? Nee, dat maak je bij mij alleen hard als je je hacker truuks in een open paper beschrijft (co authoring met de Frank!), de detectie-code ook open op github hebt staan, alle (niet privacy gevoelige) bedrijfsgegevens rucksichtlos op het web zwiert, en oja: een LDAP server opzet waar we publiek en technisch efficiënt al jullie email-adressen kunnen vinden ;)
Tenslotte omtrent de hoop van Frank op een kritischer houding bij heel wat (betrokken) partijen in het landschap enkel deze blije zucht: "en ik die dacht de enige overblijvende naïeve kloot te zijn" :)
