Hoe veilig en anoniem is Secret?
Deze maand is ook in Nederland de App “Secret” (of Secret.ly) in de Appstores gekomen. Onder het mom van “anoniem geheimen delen met je vrienden” probeert de App mensen over te halen om geheimen te openbaren die je eigenlijk voor jezelf zou willen houden.
Een interessant concept. Niemand weet wie wat schrijft. Maar toch weet je zeker dat een geheim via je vriendengroep de wereld in is geholpen. Maar is dat wel echt zo? We namen de proef op de som.
We downloadden de IOS App op onze iPad. Het eerste dat opvalt is het aanmeldproces. In de App hoef je enkel je telefoonnummer, e-mailadres en een zelf gekozen wachtwoord in te vullen om je voor Secret te registeren. Vervolgens wil de App graag toegang tot je volledige adresboek. Nou behoren Apps die zonder enige filtering mijn volledige adresboek willen kopiëren meestal niet tot mijn favorieten, maar op de vers geïnstalleerde test-iPad is het adresboek leeg en dus geven we de App alles wat zijn hartje begeert.
De nieuw geïnstalleerde Secret app start met het tonen van allemaal Engelstalige geheimen die mij niets zeggen. Het lijkt er niet op dat deze mensen zich in de vriendenkring bevinden van de collega waar we het telefoonnummer en e-mailadres van “geleend” hebben. Tijd dus voor een eerste eigen bericht: “Hallo Secret: zouden de vrienden van collega X dit bericht te lezen krijgen???”. We wachten in spanning af, maar er gebeurt niets. Tenminste… niet direct. De volgende dag staan er twee lachende collega’s aan mijn bureau. Mijn bericht waart rond in het netwerk van de collega, zonder dat hij het zelf op Secret heeft geplaatst.
Er is duidelijk iets mis met de wijze waarop Secret haar gebruikers authentiseert. Dit lijkt voor een App als Secret onschuldig. Maar wat zou er gebeuren als mensen als pesterij bedreigingen vanuit het telefoonnummer een ander online gaan zetten die justitie zo serieus neemt dat ze bij Secret de gegevens van de accounthouder vorderen? Bij wie staat justitie dan voor de deur op het moment dat het bericht vanaf een anonieme internetaansluiting is gepost? Secret.ly geeft immers aan te weten wie er welke berichten plaatst en tegemoet te komen aan wettelijk gerechtvaardigde vorderingen.
Los van het feit dat Secret.ly weet wie er een bericht POST, kun je vraagtekens zetten bij de anonimiteit van dit netwerk. Je hebt minimaal 3 vrienden nodig voordat je geheimen gaat ontvangen. Maar hoe werkt dit als ik twee dummy vrienden opvoer en daarnaast 1 vriend waarvan ik weet dat hij een Secret gebruiker is? De dummyvrienden zullen niets posten, of hooguit de berichten die ik zelf plaats om een actief account te fingeren.
De eerste ervaringen leiden dus tot nog wel wat twijfels over de vertrouwelijkheid en authenticiteit van de berichten en de Secretgebruikers. Goed om rekening mee te houden als je denkt te weten wie een bepaald geheim de wereld in heeft gebracht of denkt anoniem een bericht de wereld in te kunnen helpen.