LinkedIn-plugin Outlook verzamelt ieder e-mailcontact

AMSTERDAM – Een uitbreiding van LinkedIn voor Microsoft Outlook verstuurt naast de contactenlijst ook mailinformatie door. Dit gebeurt zonder aanvullende beveiliging.

Dat ontdekte Wieger Bontekoe van WIPA Nederland B.V. bij het uitvoeren van een security-audit. Tussen het netwerkverkeer dat langskwam bleek ook veel informatie naar LinkedIn te gaan.

Onderzoek maakte duidelijk dat een uitbreiding, de plugin Social Connector, in Microsoft Outlook de oorzaak was.

Iedere mail

De plugin blijkt na installatie alle contacten vanuit LinkedIn te downloaden. Daarnaast gaat er ook informatie over berichten naar LinkedIn iedere keer dat een gebruiker op een nieuwe e-mail klikt.

Daarbij wordt het e-mailadres wel versleuteld via zogenaamde hashing. Volgens Bontekoe is die stap onvoldoende en nog altijd informatie die tot een persoon te herleiden is. "Een beetje cracker komt door de hash heen en leest informatie gewoon mee", zegt hij tegenover NU.nl.

Voor hem is het pijnpunt dat LinkedIn informatie krijgt over mensen die geen gebruiker van LinkedIn zijn. “Linkedin ontvangt hiermee data van mensen die niet hebben ingestemd met de privacy voorwaarden.”

Woensdag legde het College Bescherming Persoonsgegevens een boete van 125.000 euro aan de Nederlandse Spoorwegen op, omdat het anonimiseren met hashing onvoldoende wordt gevonden.

Leesbaar verstuurd

Voor Bontekoe is een ander pijnpunt dat gegevens leesbaar over internet worden gestuurd. "Linkedin download via deze plugin de gehele lijst van contacten over een onbeveiligde verbinding. Iedereen kan deze informatie kinderlijk eenvoudig achterhalen, hiervoor is nagenoeg geen ICT kennis vereist", stelt hij dan ook.

"Het onbeveiligd verzenden van contactgegevens lijkt mij voor ieder bedrijf onwenselijk. Het feit dat ook niet-linkedin gebruikers hier op deze wijze de dupe van worden schend de privacy."

Microsoft

LinkedIn erkent dat gegevens leesbaar over internet worden verstuurd. Het bedrijf verwijt daarvoor de standaard functionaliteit van Microsoft. Dat zij toch op deze manier gegevens uitwisselen is de keuze van de klant. “De plugin is een opt-in ervaring.

Je moet de plugin downloaden en inloggen met de LinkedIn-inloggegevens om het te gebruiker”, reageert Julie Inouye, Corporate Communications, Product PR Lead bij LinkedIn tegenover NU.nl. Waarom dan toch gegevens leesbaar worden verstuurd wil het bedrijf niet aangeven.

Met betrekking tot het verzenden van gegevens bij iedere e-mail stelt het bedrijf de e-mailadressen te hashen. “LinkedIn heeft geen toegang tot het e-mailbody, de inhoud of details”, bezweert Inouye. Voor Bontekoe is dat niet het belangrijkste, maar de wetenschap dat partijen met elkaar contact hebben. Hij heeft zijn klant geadviseerd de vertrouwelijkheid te bewaren.

Lees meer over:
Tip de redactie