Nextdoor (6) – TrosRadar

Posted on by jerryhopper

Het is alweer een maand na mijn constatering dat Nextdoor helemaal niet zo veilig is als men beweerd.
Zoals verwacht is de heisa rond het ‘brieven sturen’ overgewaait, heel veel media heeft hierover bericht – maar slechts weinigen hebben verder onderzoek gedaan. – begrijpelijk, het is nieuws tijdens de komkommertijd.

Maar heel langzaam komt Nederland terug van vakantie – en zo ook de redactie van TrosRadar. Op maandag 2 September besteed Radar aandacht aan de veiligheid van de ‘besloten buurtapp’

Hoe zat het alweer?

Tijdens de storm aan klachten over de wervingsmethode van de buurtapp Nextdoor, ontving ook ik een brief van nextdoor.
Na kort onderzoek bleek dat ik mijzelf kon aanmelden bij alle besloten buurtapp-buurten, en bleek in staat om 25.000 namen en bijbehorende adres-informatie te vergaren in een zeer korte tijd.

Melden van het datalek

Het melden van dit ‘probleem’ bij nextdoor bleek een moeizaam proces.
Hier een chronologisch overzicht van de mailwisseling.

2 Augustus – 19:43 Ik neem contact op met de ‘Data protection Officer’
Een AutoReply verteld mij dat men meestal binnen 24 uur reageren.

7 Augustus – 11:33 Na langer dan 25 uur gewacht te hebben, zoek ik contact met de communicatie-manager van nextdoor.
Een Autoreply verteld mij dat de communicatie-manager per 1 april op wereldreis is, en contact moet opnemen met Tamar van de Paal.

7 Augustus – 12:24 Ik neem contact op met Tamar van de Paal.
Een Autoreply verteld mij dat Tamar van de Paal op vakantie is tot 19 Augustus.

7 Augustus – 14:34 Tamar van de Paal reageerd op mijn email, met de melding dat hij intern zal uitzoeken waarom mijn mail met de Data Protection Officer niet is beantwoord.

9 Augustus – 11:16 Na 2 dagen stilte, vraag ik Tamar per email of er al schot in de zaak zit. Maar geen antwoord.

10 Augustus – 02:22 Zonder ook maar een enkel detail te hebben besproken met de Data Protection Officer over het lek, ontvang ik dan eindelijk het antwoord.

Artikel 33

Het Antwoord

Op 10 Augustus ontving ik onderstaand antwoord.

Thank you for your email.

We would be happy to discuss your situation, but we understand that the “breach” you reference is actually due to your improper creation of multiple false accounts in several neighbourhoods you don’t live in.
This isn’t a breach.
Our purpose at Nextdoor is to empower neighbours everywhere to build stronger local communities and discuss issues and matters relevant to their neighbourhood. We work hard every day to foster a sense of community between neighbours within neighbourhoods. One way we do this is to have people who sign up to Nextdoor use their real names and live in the neighbourhood they are creating an account in.

Our verification process is an important and unique product feature for creating trust, accountability, and limiting conversations to the relevant neighbourhoods on Nextdoor. But, like any verification process it is not perfect, as you have demonstrated. And creating a false account by bypassing that system isn’t a breach, and is expressly prohibited by our Member Agreement.
If you would like to discuss this further, please don’t hesitate to contact us.

Craig Lisowski dpo@nextdoor.com

Bits of Freedom

Een dag voor het anwoord van Nextdoor – Op 9 Augustus besteedde Bits of Freedom in hun blog aandacht aan Nextdoor. Hierin vraagt men aandacht voor de enigerlei vreemde situatie die is ontstaan door de klachten over de Nextdoor brieven : ‘Politie waarschuwt voor nextdoor, maar maakt er ook reclame voor‘. Hoewel in nederland dit niet heel grootschalig is, is dit toch een zorgwekkende ontwikkeling.
In Engeland bijvoorbeeld: Hier roepen politiekorpsen de mensen op om mee te doen met Nextdoor.

Authoriteit persoonsgegevens

De klacht bij Authoriteit persoonsgegevens is in onderzoek. Dit houdt in dat er eerst wordt gekeken waar deze klacht behandelt moet worden, omdat Nextdoor Ierland als thuisbasis heeft voor de europese markt.
De Authoriteit aldaar – beslist of de zaak wordt behandeld door de Ierse afdeling – of dat de Authoriteit persoonsgegevens in Nederland de klacht kan oppakken.

Tros Radar

De klachtenregen over de wervingsmethode van Nextdoor triggert een oplettende medewerker van TrosRadar, en vraagt zich terecht af: Hoe veilig is dat Nextdoor nu eigenlijk?

Gewapend met een smartphone en een camera gaan ze de straat op, om het registratie-verificatie proces te testen. Het resultaat laat weinig te raden over. Iedereen kan zich overal aanmelden!

In de uitzending vraagt Radar Nextdoor om een reactie.

Bekijk de uitzending : vanavond op NPO1, 20:35 – 21:15

Lek by design

Wat is er nu eigenlijk echt mis met Nextdoor?

De hele opzet van verificatie is ‘lek by design’. Dit betekend in zoverre dat, tijdens de ontwikkeling expliciet is gekozen voor de verificatie-mechanismes. Hoewel de ‘brievenmethode’ een redelijk waterdichte vorm van verificatie is, staat dit model ‘snel en veel nieuwe’ aanmeldingen in de weg. Hierom is gekozen voor de alternatieve verificatie methodes – die eenvoudig om de tuin te lijden zijn.
Als voorbeeld: “Pokemon Go” kan locatie falsificatie detecteren – waardoor je het spel niet kunt spelen. Dit zou al een flinke stap zijn.
Maar ook de verhuis-mogelijkheden die Nextdoor bied. Het ontelbaar keren kunnen verhuizen op 1 dag is simpelweg bizar te noemen.


De mogelijk risico’s van de ingeslagen weg, waren al bekend op de dag dat men de nederlandse markt betreedde in 2016

Risico’s

De risico’s van de gammele beveiliging en verificatie zijn talloos. Zo is het mogelijk om aan te melden op elk adres zoals bijvoorbeeld het adres van het Politie-bureau, of het Paleis van Justitie. Om dan verder het vertrouwen te winnen bij buurtgenoten, om daarna je slag te slaan.

Lid worden word soms aangespoord door een buurman, maar ook door een wijkagent of vanuit werkgroepen binnen gemeentes. Het beeld van vertrouwen wat wordt geschept, maakt mensen vrijer in hun uitspraken, en vragen via de buurtapp of iemand op de poes/kinderen kan passen, of pakketjes aannemen.

Hoewel iedereen weet dat ‘gratis’ nooit gratis is, is het op zn minst byzonder te noemen hoe betrokken Nextdoor is met betrekking tot de veiligheid.
De bij wet verplichtte procedures worden niet of te laat uitgevoerd.
Een datalek in het systeem wordt afgedaan als een schending van de gebruikersvoorwaarden.

Nextdoor. Besloten, Veilig, Betrokken.

Ondertussen, is er – afgezien van wat reacties aan kranten – weinig zinnige informatie vanuit Nextdoor ten gehore gekomen. Dat kan natuurlijk zijn omdat men druk is met seminars, of burendagen organiseren.

Maar of Nextdoor hun belofte van ‘Sociaal en Betrokken’ na gaat komen valt nog te bezien.

Zit Nextdoor bij TrosRadar aan de tafel? – of niet!?

NPO1, 20:35 – 21:15 2 September 2019

  • De uitzending van AvroTrosRadar over Nextdoor

Uitzending al gezien?
bekijk ook de toelichting & antwoorden van Hans de Zwart (bits of freedom) over #nextdoor

Extra Kijk/lees-tip :
Bits of Freedom: Nextdoor is lek en stelt gebruiker niet centraal, politie moet dit niet promoten

Denkt u er het zijne van, en vindt u de ophef allemaal wat overtrokken?
Bekijk eens de 1e aflevering van TMI Aandacht of lees over de Almacht van de Surveilance kapitalisten en misschien krijgt u een andere kijk op het onderwerp.

Gerelateerde artikelen:

  1. Nextdoor lekt uw NAW gegevens. (1)
  2. Nextdoor (2) – BuurtApp
  3. Nextdoor (3)- de officiele reactie van nextdoor
  4. NextDoor (4) : U bent aan zet
  5. NextDoor oplichting
  6. Nextdoor (5) – Follow the money
  7. Bijzondere Buurtapp review
  8. Buurtpreventie borden in het straatbeeld.
  9. Menno (en nog iemand) is niet zo snel met Kamervragen over app Nextdoor.
  10. Antwoorden op kamervragen Nextdoor

    • geplaatst door jerryhopper

    JerryHopper is applicatie ontwikkelaar, neust al 23 jaar rond online en is een typische internet-dinosaurus. Houdt van Techniek, predikt Open-Source en is gek op nieuwe ontwikkelingen op het gebied van Software, beveiliging en andere curiositeiten. Duurzaamheids criticus. runt ook een engelstalig tech/gaming blog -