PRISM-break: Metadata zegt meer dan je denkt
PRISM-verdedigers doen de heisa af met de claim dat slechts naar metadata wordt gekeken. Laat die nou juist waardevoller zijn dan de inhoud.
Het is het stokpaardje van een ieder die het aftappen door de NSA en andere veiligheidsdiensten goed probeert te praten, waaronder president Obama. "Er luistert niemand mee met uw telefoongesprekken. Er wordt niet naar namen en inhoud gekeken, maar naar nummers en gespreksduur." Zogenoemde metadata.
In een eerder bericht schreven we al dat de Duitse politicus Malte Spitz door het opvragen van de data die T-Mobile over hem had opgeslagen een reconstructie kon laten maken van zes maanden van zijn leven. Daaruit bleek al hoe gedetailleerd zo'n overzicht kan zijn, mits de juiste data aan elkaar gekoppeld wordt. Je kon zelfs terugzien hoe lang Spitz in een bepaalde kroeg had doorgebracht.
MIT Immersion
De gerenommeerde Massachusetts Institute of Technology ontwikkelde een website, Immersion genaamd, waarop je kunt zien welke informatie je uit je eigen Gmail-metadata kunt halen. Je logt beveiligd in met je Gmail-account, een tijdje wachten tot Immersion je metadata heeft gedownload (momenteel is het erg druk dus het duurt nogal lang), en presto: daar is je leven, of in elk geval je leven op Gmail. Als je hierna nog gelooft dat metadata verzamelen niet zo erg is of je privacy niet aantast, dan wil je het simpelweg niet weten. Probeer het hier zelf.
De tool van MIT doorzoekt een aantal onderdelen van Gmail: 'aan', 'afzender', 'cc', en de tijd. Op basis daarvan wordt een visualisatie gemaakt, waarbij wordt gekeken naar de interactie tussen twee mailadressen. Krijg je bijvoorbeeld elke week een nieuwsbrief waar je nooit op reageert, wordt deze niet gezien als contact en dus ook niet weergegeven in de visualisatie. Hoe meer contacten je met een persoon of organisatie hebt, hoe groter deze in de infographic weergegeven wordt. In deze visualisatie wordt geen andere data (Twitter, blogs, etc) gecombineerd, zoals bij de data van Malte Spitz, desondanks geeft het toch een heel gedetailleerd beeld van je sociale en professionele netwerk.
Zo belangrijk is metadata dus. Verscheidene experts stellen dan ook dat je uit metadata veel meer kunt halen dan uit de inhoud van verkeer. En dat is nu juist hetgeen dat door moet dringen bij de bevolking. Het verzamelen van metadata is minimaal net zo'n grote inbreuk op je privacy als het afluisteren van telefoongesprekken of het lezen van emails.
Minimale metadata
Om echt te begrijpen wat je uit een minimale hoeveelheid metadata kunt halen, zou je de blogpost van Kieran Healy moeten lezen. Hij kroop in de rol van analist uit de achttiende eeuw en wist, door het analyseren van summiere data (lidmaatschappen van verenigingen) uit die tijd, precies aan te wijzen wie de interessantste persoon uit een groep van 254 mannen was. Het was Paul Revere, een held uit de Amerikaanse onafhankelijkheidsoorlog.
Niet dat de uitkomst zo interessant is, maar wel het feit dat hij met een simpele rekensom bij die 'interessante persoon' uit komt. Met als enige kennis de lidmaatschappen van de 254 mannen bij verschillende verenigingen, verder wist hij niks van de personen zelf. Het voert te ver om tot in detail uit te leggen hoe hij tot zijn conclusie kwam, maar de strekking van het verhaal is duidelijk. Healey: "Als ik als simpele analist zo'n gedetailleerd beeld kan schetsen van de relaties tussen een groep mensen, wat kan een organisatie met de beschikking over ontelbare hoeveelheden metadata en een bijna eindeloze verwerkingscapaciteit dan wel niet te weten komen?"