Consumenten gaan roekeloos om met hun persoonlijke gegevens op openbare WiFi en gaan klakkeloos akkoord met voorwaarden die geaccepteerd moeten worden. Dat concludeert het Finse beveiligingsbedrijf F-Secure uit een door Europol gesteund onderzoek dat in Londen is uitgevoerd.
Tijdens een experiment met een ‘geïnfecteerde’ WiFi-hotspot, deelden burgers hun internetverkeer, persoonlijke gegevens, de inhoud van hun mails en gingen zij akkoord met belachelijke voorwaarden, zoals het ruilen van hun eerstgeboren kind voor WiFi-toegang.
Het onderzoek werd in opdracht van F-Secure uitgevoerd door het Cyber Security Research Institute en de Duitse testorganisatie SySS. Voor het experiment bouwde SySS een draagbare WiFi-toegang (die nog geen tweehonderd euro aan onderdelen kostte) en waarvoor weinig kennis nodig is om hem in elkaar te zetten. De onderzoekers zetten vervolgens dit zelfgemaakte WiFi-punt uit in het zakelijke en politieke hart van Londen. Daarna keken ze op een computer hoe mensen op het netwerk inlogden, zonder zich te beseffen dat zij tijdens hun activiteiten werden ‘bespioneerd’.
In een periode van een half uur waren er maar liefst 250 apparaten verbonden met de opgezette WiFi-hotspot; de meeste waarschijnlijk automatisch zonder dat de eigenaar het in de gaten had. 33 personen maakten gebruik van internetverkeer: zoeken op het web en het verzenden van data en emails waren hierbij de voornaamste activiteiten. 32MB aan verkeer werd vastgelegd (en door de onderzoekers meteen vernietigd om de privacy te respecteren). Het resultaat verraste de onderzoekers en onderstreepte de behoefte aan versleuteling: de teksten die via het POP3-netwerk werden verstuurd, konden allemaal worden gelezen, alsmede de mailadressen van de verzenders, de ontvangers én hun wachtwoorden.
Voor een korte periode voegden de onderzoekers een Terms & Conditions-pagina (T&C) toe, die de nietsvermoedende consumenten dienden te accepteren om toegang tot de hotspot te krijgen. Deze T&C omvatte een ‘bizarre’ voorwaarde: mensen zouden namelijk hun eerstgeboren kind of hun favoriete huisdier moeten afstaan in ruil voor toegang tot deze hotspot. In totaal accepteerden zes mensen deze clausule. Het geeft aan hoe laks consumenten T&C-pagina’s accepteren, die veelal te lang en te moeilijk zijn om te begrijpen.