https://blisdigital.com/nieuws/van-3-miljard-naar-misschien-wel-nul-in-vier-maanden-en-een-beetje https://blisdigital.com/en/news/van-3-miljard-naar-misschien-wel-nul-in-vier-maanden-en-een-beetje
Nieuws16-01-2014Rob van der Vinden

Van 3 miljard naar misschien wel nul, in vier maanden en een beetje

Nieuws

Een ideale dienst om dubieuze afbeeldingen mee te verzenden. Iets wat de makers ook goed schijnen te weten (boze tongen beweren dat de app ooit specifiek voor dit doel is bedacht), want als je denkt even sneaky een screenshot van een snap te maken, krijgt de verzender daar meteen een melding van binnen. Kortom, groot deel van de doelgroep: Noord-Amerikaanse tienermeisjes die voor een spiegel duckfaces maken. Of gewoon foto’s van hun huisdieren naar elkaar sturen.

En daar schijnt nog geld in te zitten ook.

“Nee!” zeggen tegen drie, en daarna vier miljard dollar

Snapchat kreeg in de herfstmaanden van 2013 van Facebook een overnamebod van drie miljard dollar. Even voor het begrip: dat is een slordige € 2.200.000.000,=). Snapchat wees het prompt af. En het bod van vier miljard dat Google daarna op de onderhandelingstafel smeet ook.

De reden dat de twee giganten zoveel geld voor de dienst overhebben, laat zich makkelijk raden. Tieners tonen steeds minder interesse in Facebook, want wie wil er nou nog op een site zitten waar je tegenwoordig zelfs vriendschapsverzoeken van je ouders krijgt? Snapchat is juist onder deze groep hyperpopulair geworden, en was voor Facebook een ideale manier om de verloren tieners weer te bereiken. En Google, die probeert te concurreren door middel van hun eigen sociale netwerk, snoept deze groep gebruikers natuurlijk graag van Facebook af.

Wat de oprichter, de destijds 23-jarige Evan Spiegel, dan beweegt om zo’n bod af te slaan is minder duidelijk. Volgens hemzelf was het omdat hij op de lange termijn verwachtte er meer uit te kunnen halen. Het is een tekenend kenmerk van zoveel snel opgekomen jonge startups: het gevoel dat ze na een succesvolle lancering en alle daarbij komende investeringsrondes de hele wereld aankunnen. En, wat daarbij helaas ook vaak komt kijken: weinig respect voor de privacy van gebruikers.

We weten alles van je, al voordat je het zelf weet

Privacy. Iets wat je bij Facebook en Google natuurlijk al lang niet meer verwacht, want die verdienen hun geld met het langzaam afbreken daarvan. Een mooi voorbeeld daarvan vind ik altijd nog de inmiddels afgeschafte Beacon-functionaliteit van Facebook, waarbij daarbij aangesloten sites berichten op jouw tijdlijn konden plaatsen. Zonder toestemming. Zo kon het dus gebeuren dat de vriendin van iemand die op Overstock.com een verlovingsring had gekocht, dat op haar tijdlijn al kon lezen voor het aanzoek was gedaan. Romantisch.

Maar bij Snapchat, gebruikt door miljoenen kwetsbare tienermeisjes, zou je wel gedegen privacy verwachten. Toch? Nee, toch niet.

In Snapchat kunnen iPhone-gebruikers andere gebruikers uit hun contactenlijst toevoegen als Snapchat-vriend op basis van hun telefoonnummer. Wat betekent dat de telefoongegevens van alle gebruikers ergens in een database worden opgeslagen, en kunnen worden gekoppeld aan een gebruikersnaam. Op zich niks mis mee, als de gegevens maar veilig en versleuteld worden opgeslagen (iets waarvan Snapchat ook altijd beweerde dat dat het geval was). Je kan het wel raden: daar ging het gigantisch mis.

De struisvogel en de op hol geslagen stier

In september van vorig jaar maakte een groep security researchers Snapchat erop attent dat er een lek zat in hun private API (een koppeling tussen de applicatie en de Snapchat-database), waarmee kwaadwillende gebruikers wel eens een database zouden kunnen aanleggen van de telefoongegevens van alle Snapchat-gebruikers.

Een serieus beveiligingsrisico. Helaas nam Snapchat het vervolgens totaal niet serieus en gaf geen enkele reactie. Het lek werd vier maanden lang niet door Snapchat erkend. Om druk uit te oefenen publiceerden de security researchers complete documentatie voor de private API van Snapchat, waarmee daadwerkelijk misbruik van het systeem nog dichterbij kwam. Nu kwam Snapchat wel met een (redelijk bizarre) reactie: er was niets van het verhaal waar, alle telefoonnummers waren veilig, misbruik maken van een lek zou schier onmogelijk zijn. Ook nu werd het lek niet gedicht – een blijk van gebrek aan respect voor de privacy van alle Snapchat-gebruikers die ooit hun telefoonnummer hebben doorgegeven, met als klap op de vuurpijl nog een sneer naar de ontdekkers van het lek.

Zo’n opstelling werkt dan vaak als een rode lap op een stier. Een dag later gebeurde er dan ook iets dat werkelijk niemand verbaasde: een andere groep gaf een doorzoekbare database vrij met een groot aantal (gedeeltelijk gecensureerde) telefoonnummers van Snapchat-gebruikers. Dus het lek dat volgens Snapchat niet zou bestaan, bleek ineens toch te bestaan.

Damage control – hoe je het dus niet moet doen

Wat zou jij in zo’n geval doen? Miljoenen telefoonnummers van je gebruikers, grotendeels tieners, liggen in combinatie met hun gebruikersnaam op straat voor iedereen die er misbruik van wil maken, puur omdat je maandenlang weigerde een beveiligingslek te dichten waarvan iedereen met een beetje technisch inzicht begreep dat het wel degelijk aanwezig was. Diep door het stof, je excuses aanbieden en laten weten dat het lek zo snel mogelijk wordt gedicht zou een logische stap zijn.

Een andere mogelijkheid is doen wat Snapchat vervolgens deed: volhouden dat je zelf al het mogelijke hebt gedaan om misbruik tegen gaan, zonder ook maar enige excuses te maken aan je 4.6 miljoen gebruikers wiens telefoonnummers openbaar zijn gemaakt.

Gevolg van het kiezen voor het laatste is een overvloed aan negatieve publiciteit op tech-sites. Snapchat zou een onveilig product zijn, gemaakt door mensen die een te groot ego hebben om hun fouten toe te geven. Niet altijd letterlijk zo geschreven, maar lezers zouden al snel een dergelijke conclusie kunnen trekken. Gelukkig zaten de hoofden bij Snapchat nog net niet zó diep in het zand dat ze dat niet begrepen: na een stilte van enkele dagen kwamen er dan toch zuinige excuses.

Het is de vraag of Snapchat er blijvende imagoschade aan overhoudt. Misschien heeft de nieuwe generatie internetgebruikers al zo’n geërodeerd beeld van online privacy dat het ze niets kan schelen dat hun telefoonnummers nu openbaar zijn. Misschien lachen Facebook en Google in hun vuistje en zal een volgend overnamebod van hen (als het überhaupt nog komt) een stuk lager uitvallen, of wachten ze gewoon tot de tieners overstappen op de volgende social media-hype en Snapchat net zo verlaten is als het ooit zo populaire Hyves.

En dan gaat Evan Spiegel de geschiedenisboeken in als de man die 3 miljard heeft laten verdampen tot bijna niets. Terwijl het toch zou eenvoudig had kunnen zijn: het enige dat hij had hoeven doen, was respect tonen voor de privacy van zijn gebruikers.