Sinds we met ons allen massaal thuiszitten zijn videochatapps aan een steile opmars bezig. Onder jongeren doet vooral Houseparty het goed. Tot er afgelopen week het nieuws kwam van een hack. "Klopt niet," zeggen experts. "Maar Houseparty is wel een privacy-nachtmerrie." De Corona Debunker ging op onderzoek.

Meer dan twee miljoen downloads in enkele weken tijd volgens website Apptopia, bovenaan de downloadlijsten bij Android en aanbevolen door Vogue als 'de quarantaine-app die je onmiddellijk moet downloaden'. De coronacrisis legt Houseparty duidelijk geen windeieren. Vooral bij jongeren lijkt deze app zich te ontpoppen tot dé ‘coronavirus lockdown-app’.

Houseparty, sinds juni vorig jaar eigendom van Epic Games (de makers van de populaire videogame Fortnite), omschrijft zichzelf als een ‘social video app’. Je kunt videobellen tot met acht mensen tegelijk en samen spelletjes spelen. De gesprekken zijn daarbij vergelijkbaar met een ordinair huisfeest: mensen komen binnen en gaan weg wanneer ze willen. En dat slaat duidelijk aan in deze tijden van thuiszitten. De voorbije dagen kwam die stijgende populariteit echter onder druk te staan.

Gehackt of niet?

Afgelopen week verspreidde zich op Twitter het nieuws dat de app gehackt zou zijn. Verschillende gebruikers stelden dat hun Netflix- en Spotify-accounts gehackt waren nadat ze aan de slag gegaan waren met Houseparty. Volgens sommigen waren zelfs bankgegevens ingekeken. Het bericht werd overgenomen door Britse tabloids als The Sun en Daily Mail. Al snel verschenen er aanmoedigingen om de app te verwijderen.

Houseparty zelf ontkende onmiddellijk alle claims. Het liet op Twitter weten dat alle accounts bij hen veilig zijn. Volgens hen was er geen bewijs van een hack, noch dat andere accounts via hen gehackt werden. Ze spraken van een ‘commerciële lastercampagne’ en loofden zelfs een beloning van één miljoen dollar uit voor wie daarvoor bewijzen kon vinden.

Daarbij kregen ze al snel steun. Zo stelde cybersecurity-onderzoeker Kevin Beaumont op Twitter dat hij ‘op een georganiseerde manier’ werd benaderd om het nieuws over de hack te verspreiden. Verder lichtte hij dat niet toe, maar volgens Houseparty zijn ondertussen wel verschillende van de oorspronkelijke Twitterberichten verwijderd.

Slachtoffer van eigen succes?

Experts op het gebied van cybersecurity hebben de app ondertussen onder de loep genomen. Hun conclusie is duidelijk: er zijn geen aanwijzingen dat de app gehackt is. "Technisch is het weinig waarschijnlijk dat een app ervoor zorgt dat accounts op andere platformen worden gehackt," zegt cryptograaf Bart Preneel, hoogleraar aan de Katholieke Universiteit Leuven. Bovendien komen de berichten over hoe zou zijn gehackt niet echt overeen met de manier waarop cybercriminelen doorgaans te werk gaan.

Een verklaring voor de berichten zou kunnen zijn dat mensen zelf onzorgvuldig omspringen met wachtwoorden. "Vaak gebruikt men dezelfde passwoorden en e-mailadressen voor verschillende online diensten," stelt cybersecurity-onderzoeker Paul Ducklin bij de BBC. "Criminele hackers moeten dan slechts toegang krijgen tot een van deze websitedatabases om toegang te hebben tot al die accounts."

Houseparty is daarbij mogelijk slachtoffer van zijn eigen succes, zo vermoedt hij. De voorbije weken werd de app immers massaal gedownload. "Het is aannemelijk dat mensen daarom nu massaal in die richting wijzen," aldus Ducklin. Bewijzen hiervoor zijn er echter niet.

© Bart Preneel / Bloovi Studio

Een privacy-nachtmerrie

Toch zijn de accounts niet zo veilig als Houseparty zelf doet voorkomen, waarschuwen de experts. Ze noemen de app een ‘privacy-nachtmerrie’. Onder meer Ray Walsh, expert digitale privacy, stelde bij Digital Trends dat "de app een verontrustende hoeveelheid persoonlijke informatie verzamelt". Zo houdt ze onder meer bij waar je bent en wanneer, met wie je contact hebt en hoe vaak je contact hebt.

Vooral het feit dat Houseparty locatiegegevens van zijn gebruikers verzamelt, baart experts zorgen. Daarmee kan de app zijn gebruikers zeer nauwkeurig volgen. De ontwikkelaar stelt zelf dat ze enkel anonieme gegevens verzamelt. Specialisten wijzen er echter op dat individuen geïdentificeerd kunnen worden aan de hand van slechts drie aanknopingspunten.

"Gegevens zijn geld waard bij adverteerders," aldus professor Bart Preneel. "Hoe meer apps weten over hun gebruikers, hoe meer de adverteerders hun advertenties kunnen richten en hoe meer ze daarvoor willen betalen." Dat is het geval bij de meeste gratis platformen, zoals ook Google en Facebook. "Maar het probleem is dat de meeste apps die plots heel populair worden niet zo heel hoog scoren qua privacy en veiligheid. Dat zien we nu weer bij onder andere Houseparty en Zoom."

De risico’s

Wat de experts daarbij vooral zorgen baart, is het feit dat Houseparty zich niet aan de GDPR (de Europese privacywetgeving) lijkt te houden. Eigenaar Epic Games kreeg eerder al klachten voor zijn slechte privacy-beleid. Privacy-experte Suzanne Vergnolle legde in een Twitter-thread een aantal van de privacyproblemen van Houseparty bloot. "Het probleem is dat je eigenlijk niet weet hoe men je gegevens gaat gebruiken als zo’n app de GDPR-regels niet onderschrijft," aldus Bart Preneel.

Gebruik van de app houdt dan ook heel wat privacy-risico’s in. Populaire apps zijn bovendien een geliefd doelwit van cybercriminelen. Daarnaast wijst Ray Walsh bij Digital Trends op nog een ander gevaar. "Als deze pandemie nog lang duurt, kan het zijn dat apps als deze onder toezicht van overheden wordt geplaatst om te kijken hoe het virus zich verspreid. Die kans is echt heel groot." Met andere woorden: ook overheden kunnen dan, volgens Walsh, hun burgers volgen, zonder dat zij zich daar zelf van bewust zijn.

Sneak into the house

Wie van Houseparty gebruik maakt, kan om te beginnen het beste de privémodus activeren. Accounts op Houseparty staan standaard op openbaar. Dat betekent niet alleen dat anderen je kunnen vinden in de app. Ook kunnen onbekenden hierdoor zomaar in gesprekken opduiken, videobeelden zien en meepraten. Via een slotje onderaan je scherm kan je dat aanpassen.

Daarnaast is het echter ook verstandig om de app niet te veel informatie te geven. Zo kan je beter de locatie-tracking of toegang tot je contacten uitschakelen. Dat is immers niet echt nodig voor gebruik ervan. Een andere manier is om onzichtbaar in te loggen, zodat anderen niet zien dat je online bent. Dat kan door het app-icoontje in te drukken en vervolgens te kiezen voor ‘sneak into the house’.

Als reactie op de hack stelde Houseparty zelf dat gebruikers het beste telkens een ander wachtwoord kunnen kiezen als ze online accounts aanmaken. Ook andere experts waarschuwen om er vooral slim mee om te springen. "Maar als je echt zeker wil zijn, kan je beter op zoek gaan naar apps waarvan de veiligheid wel aangetoond is, zoals Jitsi of Signal," besluit Preneel.