SnapLion
Image: Hunter French

Snapchat-medewerkers misbruikten datatoegang om gebruikers te bespioneren

Uit meerdere bronnen en e-mails blijkt dat SnapLion, een intern netwerk van het bedrijf, werd gebruikt om toegang te krijgen tot gebruikersgegevens.
02 juni 2019, 5:00am

Verschillende afdelingen van socialmediabedrijf Snap Inc. hebben tools om toegang te krijgen tot gegevens van gebruikers. Motherboard heeft ontdekt dat meerdere werknemers enkele jaren geleden die toegang hebben misbruikt om Snapchat-gebruikers te bespioneren.

Dat melden twee oud-werknemers van Snap. Naast deze twee bronnen zijn er nog twee andere oud-werknemers, een huidige werknemer en een hoop interne e-mails die Motherboard heeft verkregen en die hetzelfde zeggen. Bepaalde werknemers van Snap konden persoonlijke informatie zoals telefoonnummers, e-mailadressen, locatiegegevens en de opgeslagen snaps van gebruikers zien. Snaps zijn foto’s of video’s die vrijwel direct verdwijnen nadat ze ontvangen zijn, of na 24 uur als ze in een Story worden geplaatst.

Motherboard heeft meerdere bronnen in dit artikel geanonimiseerd, zodat ze openhartig konden praten over deze gebeurtenissen.

Hoewel Snap streng toeziet op de toegang tot gebruikersgegevens en volgens verschillende bronnen misbruik en privacy uiterst serieus neemt, toont dit nieuws iets aan wat veel mensen wellicht vergeten: achter de producten die we dagelijks gebruiken, zitten mensen met toegang tot zeer gevoelige klantgegevens. Zij hebben die toegang nodig om belangrijke werkzaamheden uit te voeren, maar zonder de juiste beveiligingen of controles kunnen diezelfde mensen hun positie misbruiken om de persoonlijke informatie of de profielen van gebruikers te bespioneren.

Volgens meerdere bronnen en de e-mails is SnapLion een van de interne tools die is gebruikt om de gebruikersgegevens te bekijken. De tool werd oorspronkelijk gebruik om bijvoorbeeld bij een rechterlijk bevel of een dagvaarding gebruikersinformatie te verzamelen, zeggen twee oud-werknemers. Maar ook het ‘spam and abuse’-team van Snap heeft volgens een van de oud-werknemers toegang. De huidige werknemer suggereerde dat de tool wordt gebruikt om pestgedrag of intimidatie van andere gebruikers te bestrijden. Uit een interne mail die Motherboard heeft verkregen blijkt verder dat de afdeling ‘Customer Ops’ ook toegang heeft tot de tool, en daarnaast kan volgens de huidige werknemer het beveiligingsteam er ook bij. Het bestaan van deze tool is niet eerder gemeld.

SnapLion is “de sleutel waar alle deuren mee open gaan,” zegt een van de oud-werknemers.

Veel van de 186 miljoen mensen die Snapchat gebruiken, doen dat vanwege de korte duur dat video’s en foto’s te zien zijn voordat ze verwijderd worden. Maar gebruikers zijn zich mogelijk niet bewust van het soort gegevens dat Snapchat wél mag opslaan. In 2014 legde de Amerikaanse overheid Snapchat een boete op, omdat het bedrijf niet duidelijk had gemaakt dat het geolocatiegegevens had verzameld, opgeslagen en verzonden.

Er bestaat een openbare handleiding voor wetshandhavers, waarin staat welk soort gebruikersdata opgevraagd mag worden bij het bedrijf: het telefoonnummer dat aan een account is gekoppeld, de locatiegegevens van een gebruiker (als een gebruiker toestemming heeft gegeven om zijn locatie met Snapchat te delen), de metadata van berichten (waarin te zien is met wie iemand praatte en wanneer), en in sommige gevallen bepaalde snaps, zoals de ‘memories’ van de gebruiker en andere foto’s en video’s waar een back-up van is gemaakt.

In een interne e-mail laat een werknemer zien hoe je met SnapLion het e-mailadres van een gebruiker kunt zien, zonder dat daar een juridische reden voor is. In een andere mail staat hoe de tool gebruikt kan worden bij onderzoeken naar kindermishandeling.

Tools als SnapLion komen standaard voor in de tech-industrie, omdat bedrijven wegens verschillende legitieme redenen toegang moeten kunnen krijgen tot gebruikersgegevens. En hoewel Snap heeft gezegd dat het verschillende tools gebruikt om te werken met klantrapporten, aan wetten te voldoen en de voorwaarden en het beleid van het bedrijf te handhaven, hebben medewerkers diezelfde tools ook gebruikt om gebruikers te bespioneren, volgens twee oud-medewerkers.

Een van de oud-medewerkers zegt dat het misbruik zich “een paar keer” heeft voorgedaan bij Snap. Diezelfde bron en een andere oud-medewerker zeggen dat meerdere werknemers de tools hebben misbruikt. Uit een e-mail blijkt ook dat werknemers in grote lijnen het probleem van bedreigingen van binnenuit en de toegang tot gegevens bespreken, en hoe dat moet worden bestreden.

Motherboard kon niet precies nagaan hoe het misbruik precies plaatsvond, of welk specifiek systeem of proces de werknemers gebruikten om toegang te krijgen tot de gegevens van gebruikers.

Een woordvoerder van Snap schreef in een verklaring per mail: “De bescherming van privacy staat voorop bij Snap. We bewaren erg weinig gebruikersgegevens, en we hebben uitgebreide beleidsregels en controles om de interne toegang tot de gegevens die we hebben te beperken. De ongeautoriseerde toegang, van welke aard dan ook, is een duidelijke schending van de normen van het bedrijf en zal, indien opgemerkt, leiden onmiddellijk tot ontslag.”

Op de vraag of het misbruik ooit heeft plaatsgevonden, antwoordde een oud-werknemer: “Ik kan daar niks over zeggen, maar we hadden al vroeg goede systemen. Waarschijnlijk zelfs eerder dan andere start-ups.” De oud-werknemer ontkende niet dat werknemers misbruik maakten van hun toegang tot gebruikersgegevens, en reageerde niet meer toen we nogmaals vroegen of het misbruik had plaatsgevonden.

"Logging is niet perfect."

Een van de voormalige werknemers dacht dat SnapLion een aantal jaar geleden niet goed genoeg bijhield wat voor data de werknemers inzagen. Dat bijhouden, het zogenoemde 'logging', houdt in dat een bedrijf in de gaten houdt wie een systeem gebruikt en met welke reden, zodat ze kunnen waarborgen dat er geen misbruik van wordt gemaakt. Het bedrijf is daarna wel meer gaan monitoren, voegde de voormalige werknemer nog toe. Snap zelf zei dat ze momenteel alle toegang tot gebruikersdata streng in de gaten houden.

“Logging is niet perfect,” aldus de tweede ex-werknemer die we spraken over het misbruik van data-toegang.

Snap zegt zelf dat ze gebruik van de interne tools beperken tot de mensen die het nodig hebben, maar SnapLion wordt al lang niet meer enkel gebruikt om de politie te helpen. Het wordt veel breder door het hele bedrijf gebruikt. Een voormalige werknemer die met SnapLion heeft gewerkt zegt dat de tool gebruikt wordt om wachtwoorden van gehackte accounts te resetten, en "verdere gebruikersadministratie."

Een huidige werknemer benadrukte de stappen die het bedrijf zet om de privacy van gebruikers te waarborgen, en twee voormalige werknemers noemden de regels die Snap streng naleeft om de privacy van gebruikers te beschermen. In januari van dit jaar introduceerde Snap end-to-end encryptie.

Dat insiders misbruik maken van hun toegang tot gegevens gebeurt in de hele tech-industrie. Vorig jaar meldde Motherboard dat Facebook meerdere mensen had ontslagen omdat ze gebruik hadden gemaakt van hun positie en toegang tot gebruikersgegevens om hun exen te stalken. Uber liet op feestjes hun zogeheten ‘God View’-modus zien, waarmee je in real time de locatie van chauffeurs en gebruikers kan zien, en medewerkers van Uber hebben interne systemen gebruikt om exen, politici en beroemdheden in de gaten te kunnen houden.

"De doorsnee gebruiker moet begrijpen dat alles wat ze doen dat niet versleuteld is, uiteindelijk door een mens kan worden ingezien," zegt Alex Stamos, voormalige chief information security officer bij Facebook, en nu adjunct-professor aan Stanford, in een telefoongesprek met Motherboard. Hij had het ook over de dreiging van kwaadwillende insiders bij de grote techbedrijven in het algemeen.

"Het is niet uitzonderlijk," voegde Stamos toe, over misbruik van data door insiders.

Leonie Tanczer, een docent International Security and Emerging Technologies aan het University College in Londen, zei in een chatgesprek dat dit "erg aansluit bij het idee dat een bedrijf geen monolithische entiteit is, maar een groep individuen die allemaal hun eigen fouten en voorkeuren hebben. Daarom is het belangrijk dat toegang tot data intern streng gereguleerd wordt."