Over de itsme app en de gevaren

1- De banken

De itsme-app is een initiatief van de grootbanken en enkele telco’s (vele mensen weten dat niet, de PR laat het lijken alsof het iets vanuit de overheid is, al wordt dat niet expliciet gezegd).
Men geeft het gevoel dat je identificeren je veilig maakt, dat heen “must” is, … de hele PR-sfeer er rond is eigenlijk sfeerschepping; wie het heeft is OK, wie het niet heeft is verdacht of niet ok. Een zeer oude marketing truuk, die blijkbaar nog steeds werkt bij het gros van de mensen.

2- weakest link

Vermits je je identiteit (naast van thuis uit) ook kan “ingeven” aan een automaat bij een deelnemende bank (bv: KBC) hangt alles ook af van de correcte werking van deze automaten. Stel je hier niet te veel moderne zaken bij voor. Voor sommige zaken, bij voorbeeld na een adreswijziging door verhuis van de “klant”/burger/genummerde tax-slaaf, wordt het systeem al snel heel ouderwets.

Hierbij wordt er gewoon een e-id lezer gebruikt die ingebouwd zit in de oude teller-automaten.
Wanneer de gegevens op je e-ID om welke reden dan ook, niet accuraat zijn, heeft je Itsme App dus ook verkeerde gegevens. Er wordt geen live check gedaan op een databank van de staat, men gaat gewoon af op de gegevens die op de kaart staan, hierbij de verantwoordelijkheid naar de overheden schuivend. (Iemand met slechte bedoelingen zou dit perfect kunnen “gamen” en er met eender welke identiteit uit komen, maar ok; dat zullen ze wel merken eens deze vorm van misbruik op duikt, ik werk niet voor een bank dus mogen de werknemers die daar voor betaald worden eens moeite doen).

3- Onveilig

Dat hun “moderne aanpak” niets dan marketing bla-bla is, wordt meteen duidelijk wanneer je jezelf moet verifiëren met een code die door Itsme wordt doorgestuurd. Dit gebeurt op een 1999-manier via SMS!!!!!
Dit is to-taal achterhaald, gevaarlijk, en complete nonsens.
Wanneer je mensen hun HELE identiteit wil beveiligen, en zogenaamd veilig bewaren, en je gaat vervolgens de eigenlijke sleutel daartoe, beveiligen met een verouderd, achterhaald en compleet onveilig systeem, dan ben je de bevolking aan’t bedotten. (Een “simswap” is redelijk eenvoudig uit te voeren, en is in principe niet iets waar je mee beveiligd).

Ter illustratie uit hun eigen documentatie:

sms beveiliging
uit de documentatie van itsme

Er zijn voor deze gehekelde SMS “beveiliging” (die er geen is) voldoende alternatieven voorhanden. Een yubikey bij voorbeeld, is een hardware 2FA key, die al meer dan 11 jaar met success gebruikt wordt om bv. toegang tot servers te beveiligen met een gebruikersnaam, paswoord EN door de yibikey genereerde code. (zie : www.yubikey.com ) Het kan voor een consortium van grootbanken ook niet veel moeite kosten om haar klanten hiervan te voorzien (of waarom niet heel de bevolking?)

4- meta-data

Nog gevaarlijker wordt het, wanneer je de “itsme” waakhond zonder tanden”, ook gaat koppelen met andere zaken (hetgeen op de achtergrond gebeurt) heb je als bank een schat aan gratis info. Terwijl je het brengt als een handige App om je authenticatie te .

Voorbeeld: gebruikers van de Cake app, bankgegevens, stand rekeningen transacties, plus alle extra diensten die je gebruikt vie je bank-app (openbaar vervoer bv.)

Al deze gegevens, ook als ze geanonimiseerd zouden zijn (wat ze zijn volgens mij) kunnen heel makkelijk samengebracht worden. De meta-data alleen al, zorgt voor voldoende info om menen heel nauwkeurig te identificeren en hun gedrag, profiel en financiën samen te stellen. Een gedroomde tool voor banken, die vervolgens aan “de juiste bedrijven” kredieten toekennen om in bepaalde buurten de juiste zaken te openen. Om maar iets te noemen. (ja, ook dat wordt gestuurd door de banken en hun studiediensten).

Zeker wanneer je de IP adressen via de telco-providers er zou aan koppelen (en ja, da’s ook zeer eenvoudig eigenlijk, vermits men weet van je in logt thuis bv. en ziet welke provier-rekeningen je betaalt + nummer).
Je hoeft daarvoor zelfs geen toegang te hebben tot de databank van een telecom provider.
Maar er is meer. Tussen de oprichters van Itsme, staan ook twee telecom providers, wat me op z’n minst de indruk laat dat deze bedrijven samenwerken, en misschien wel actief gegevens uitwisselen. Het is niet ondenkbeeldig (want geen controle!) dat deze data gewoon samen wordt gelegd met hulp van de oprichters: Belfius, BNP Paribas Fortis, ING, KBC, Telenet, Orange en Proximus.

Wanneer iemand 15 keer na elkaar in logt via een desktop (men fingerprint uw profiel via de openbare gegevens die uw browser uit stuurt) vanuit een proximus-range van IP address voor residentiële klanten, is het niet echt moeilijk om te weten wie u bent, wanneer er andere dat aan gekoppeld kan worden.

De meta-data alleen hieruit, kan de bedrijven perfect een totaal beeld geven van àlles.
Waar je gaat, waar je staat, met wie je contact hebt, wat je koopgedrag is, welke prijzen je al dan niet wilt betalen voor iets, etc.

Conclusie:

De “Itsme-app” is in ons land stilaan de sleutel, de waakhond aan’t worden tot een heleboel van onze gegevens. En niet zomaar gegevens over je kappersbezoek of welke ikea kast je bestelde, neen cruciale gegevens over onze financiën en gedrag! Dit alles zonder een duidelijk identificeerbaar controle-orgaan, niet van de staat, en niet van de bedrijven zelf.

Men forceert het gebruik van deze app ook massaal. Een bank als KBC forceert haar klanten ook om niet langer met hun eigen kbc-sign in te loggen, maar liever met de itsme-app. Men laat dus een eigen inlog-tool liever afvoeren ten voordele van Itsme! Dit komt net omdat hun eigen inlog-tool enkel voor KBC dient, en die zal nooit de waakhond kunnen spelen voor heel de bevolking. Een tool als itsme wel, waar je heel de bevolking stilaan naar toe kan loodsen.

De paar grootbanken zijn dus de facto onze “gatekeepers” aan’t worden; de waakhonden die allemaal eigenlijk afhangen van beveiliging uit de jaren ‘90.

Da’s ronduit gevaarlijk, niet alleen vanuit het standpunt van gegevens-bewaring, maar zeker ook vanuit democratische overwegingen. Wanneer een groep min-of-meer privé-onderneming samen kan spannen, om gewoon de toegang tot onze essentiële identiteitsgegevens te beheren, ZONDER oversight of echte bewaking of openbaarheid van bestuur, is er gewoon iets grondig mist met onze democratie.

Het gaat hier niet langer over een hacker die eens zou binnen geraken op een lijstje met persoonsgegevens en e-mail adressen, het gaat hier over een actieve, makkelijke te misbruiken verzameling van primaire gegevens waar geen rekenschap voor wordt afgelegd.
Het zou het equivalent zijn van alle natuurgebieden in België in één keer door enkele firma’s te zien ingenomen worden, en vervolgens volgebouwd te zien worden met appartementsblokken, terwijl iedereen weg kijkt en doet alsof het normaal is dat er niemand zelfs uitleg over geeft, laat staan verantwoordelijkheid neemt. Nuja, verantwoordelijkheid nemen, is inmiddels volledig verdwenen uit onze politiek: zie N-Va, Cd&V, OpenVLD, Groen en Vooruit.

Wat erger is, is dat je dus weldra deze “commons” (onze gegevens, gedragingen en de data hierover) over genomen zal zien worden, door bedrijven die in’t verleden al hebben bewezen niet bepaald in te zitten met het welzijn van hun klanten en de burgers in’t algemeen. (zie de financiële crisis van 2009, zie de

Hoe ver laten we deze macht gaan, is de vraag? Het lijkt onschuldig; “een app’je”, maar gaan we weldra ook anderen dingen laten beïnvloeden door hen, zaken als toegang tot een pretpark? En krijgen we garanties EN controle over hoe ver dit zal gaan? (zeker wanneer je bedenkt dat er plannen bestonden om de itsme app te koppelen aan een “corona-pas”.

M’n eerdere conclusie blijft gelden: “We’re all Fonzies now”; een privilege maatschappij waar een app beslist met wie je date, wat je mag en niet mag, en wat je risico’s zijn, en tegelijk je gedrag mijnt en opslorpt via alle apps en databanken. Dit databankland-effect is al volop bezig, en zal dan ook niet stoppen tot er eens politici ons ECHT gaan vertegenwoordigen, in plaats van uitverkopen.

Op de duur kunnen dit ideale totalitaire systemen worden: waarbij er telkens een compleet gebrek is aan basis democratie, transparantie, garanties en democratisch toezicht.

Wie controleert er om effectief misbruik van onze gegevens? (een bank? Neen! De persoonsgegevens en de toegang tot onze basis identiteit zijn NIET in handen van een bank in een democratie!)

Wie controleert of het anoniem gebruikt wordt?

Wie checkt er of er geen misbruik is van gegevens?

Waarom is er geen wet tegen het koppelen van meta-data?

Welke politieke partij heeft hier een duidelijke, gegarandeerd politiek programma rond?

Waarom stellen er geen journalisten hier vragen over?

deadeyes

Gepubliceerd door

kim

twitter.com/kim0raku