Een PSA aan mensen die anoniem chatten met vreemden op internet: Niet alle ruimtes zijn zo privé.
Volgens beveiligingsonderzoeker Indrajeet Bhuyan is Omegle – een gratis online chatsite waar vreemden willekeurig aan elkaar worden gekoppeld voor één-op-één chatsessies – “niet zo anoniem als het beweert.”
Elk chatlog wordt opgeslagen in de server van Omegle nadat een gebruiker een gesprek heeft verlaten, zei Bhuyan in een e-mail.
“Nadat een gebruiker zijn chat heeft verbroken, slaat Omegle het hele chatlog permanent op in hun server,” zei Bhuyan.
Omegle’s privacybeleid stelt dat “Chatberichten worden gescreend door een geautomatiseerd systeem op spam. In het algemeen worden berichten niet opgeslagen, maar berichten die als verdacht worden gemarkeerd, kunnen voor onbepaalde tijd worden opgeslagen, en geselecteerde berichten kunnen door een mens worden gelezen om Omegle’s anti-spamsoftware te verbeteren, of voor andere kwaliteitscontroledoeleinden.”
Omegle gaat verder met op te merken dat wanneer u een chat begint, de tijdstempel, IP-adres, ID cookie “en soortgelijke informatie voor u en uw chat-partner” worden geregistreerd en kunnen worden gebruikt om spammers, hackers en andere potentiële cyberspace boosdoeners op te sporen, evenals voor “rechtshandhavingsdoeleinden” of om statistische gegevens te compileren. Al deze gegevens worden “gewoonlijk” ongeveer 120 dagen bewaard.
Het gaat er hier niet om dat Omegle beweert dat het de chats op zijn platform niet registreert – het stelt in zijn privacybeleid dat het een heleboel informatie over zijn gebruikers verzamelt en dat het, op basis van het “meestal” dat erin staat, in wezen al deze gegevens zo lang kan bewaren als het zelf wil. Het probleem is dat Omegle op de markt wordt gebracht als een ruimte van bewuste anonimiteit, waar gebruikers online kameraadschap kunnen ontwikkelen met vreemden – en tenzij je het privacybeleid doorleest, ben je waarschijnlijk onwetend van het feit dat je chat vanaf het begin wordt opgenomen.
“Mensen op Omegle denken vaak dat hun chats privé zijn en chats worden verwijderd zodra ze de verbinding met het gesprek verbreken,” zei Bhuyan. “Door dit valse gevoel van veiligheid, delen mensen er vaak gevoelige informatie op.”
Het starten van een chat gaat bijna ogenblikkelijk, en tenzij een gebruiker voorafgaand aan een chat de privacybeleidspagina doorleest, is er geen indicatie dat je informatie wordt opgeslagen. En al deze gevoelige informatie is vatbaar voor hackers, wat betekent dat deze privégesprekken in de verkeerde handen terecht kunnen komen en zeer openbaar kunnen worden. Zoals de Hacker News gemeld, deze opgenomen gesprekken vereisen “weinig kennis van hacken” om toegang te krijgen, met vermelding van Bhuyan’s python script, Omegle-Chat-Hack, als bewijs dat iemand buiten Omegle de gesprekken van gebruikers kan downloaden.
Een woordvoerder van Omegle zei in een e-mail dat ze denken dat Bhuyan’s hack haalbaar was door het raden van de URL van een chatlog – een willekeurige opeenvolging van letters en cijfers – die een gebruiker heeft opgeslagen.
“In de praktijk is dat vooral een zorg voor chatlogs die gebruikers jaren geleden hebben opgeslagen, die kortere URL’s hadden die gemakkelijker te raden waren,” zeiden ze. “URL’s die recenter zijn gegenereerd zouden veel moeilijker te raden moeten zijn, maar voor de zekerheid heb ik nieuw gegenereerde URL’s in reactie hierop nog langer gemaakt.”
Zij geloven dat degenen die risico lopen waarschijnlijk alleen gebruikers zijn die hun chatlogs hebben opgeslagen en degenen die zijn opgeslagen met URL’s “die kort genoeg zijn om te kunnen worden geraden,” maar herhaalden dat Omegle nieuw gegenereerde URL’s heeft gemaakt die nog langer zijn “om aan de veilige kant te zijn met dit.”
August 19, 2016, 3:01 p.m.: Dit verhaal is bijgewerkt.