Onderzoek onthult de meest invasieve financiële apps op je telefoon

Bijna elke financiële app traceert en bewaart je persoonlijke gegevens. Deze Invezz studie onthult de meest invasieve financiële apps en zet de ergste van zijn soort op een rijtje,
Door:
Bijgewerkt: jul 14, 2022
Listen to this article

80% van de websites houdt onze privégegevens bij. De meest spraakmakende gegevensverzamelaars zijn social media platforms en grote technologiebedrijven, die miljarden verdienen door de privégegevens van hun gebruikers te volgen en te verkopen. Maar zelfs financiële apps, waar we onze meest gevoelige informatie aan toevertrouwen, gebruiken onze persoonlijke gegevens in hun voordeel.

We hebben de top 50 financiële apps in de Apple App Store geanalyseerd om erachter te komen hoeveel gegevens ze van hun gebruikers hebben verzameld. Volgens de wet moeten bedrijven informatie verstrekken over de gegevens die ze verzamelen, gebruiken en verkopen, en dus we hebben elke financiële app bekeken en de gegevens ervan geregistreerd. Het aanbod van apps omvatte algemene financiële apps, apps voor meerdere valuta accounts, forex trading-apps, aandelenhandel apps en allround investerings-apps.

De volledige details zijn hieronder beschikbaar, maar eerst een samenvatting van onze belangrijkste bevindingen:

Belangrijkste bevindingen

  • 92% van de financiële apps volgen, bewaren of verkopen onze persoonlijke gegevens
  • Robinhood verkoopt 86% van de verzamelde gegevens aan derden
  • Google Pay en PayPal verkopen 79% van de gegevens die ze verzamelen
  • Self, de app voor het opbouwen van kredieten, wordt beoordeeld als de meest ingrijpende financiële app in het algemeen
  • 10% van de apps verzamelt en verkoopt gevoelige persoonlijke informatie, zoals onze etnische afkomst, seksuele geaardheid of geestelijke gezondheid

De meest invasieve financiële en investeringsapps

Lijst met de meest invasieve financiële apps

92% van de financiële apps houdt onze gegevens op de een of andere manier bij. In veel gevallen slaan deze apps gegevens op die veel verder gaan dan de financiële wereld. Enorm populaire platforms zoals Robinhood en PayPal volgen onze online activiteiten en slaan gevoelige financiële data en contactgegevens op.

De app voor het opbouwen van krediet, Self, komt naar voren als de slechtste presteerder in de branche en slaat 57% van de gegevens op die het wettelijk mag verzamelen. Aan de andere kant van de schaal verzamelen vier apps – DailyPay, Navy Federal Credit Union, Coinbase Wallet en Payday Cash Advance – helemaal geen gegevens.

Naast een inbreuk op de privacy kan het overdragen van je gegevens aan apps gevaarlijk zijn en laat de beveiliging van deze platforms te wensen over. Volgens Narek Gevorgyan, CEO van CoinStats, is persoonlijke informatie die in deze apps is opgeslagen een “goudmijn voor zowel stalkers, misbruikers als doxxers”. Uit een Intertrust-rapport uit 2021 bleek dat maar liefst 80% van de financiële apps gegevens lekt, en dat het meerendeel grote beveiligingsfouten vertoont.

Dit is met name zorgwekkend als je bedenkt welk type gegevens deze apps verzamelen. Veel van deze apps kunnen zien waar je bent, wat je hebt gekocht en waar je online naar kijkt, en het vervolgens gebruiken om een profiel op te bouwen van wie je bent en waar je mee omgaat. Deze gegevens zijn uiterst waardevol, en veel bedrijven verdienen geld door je informatie op te slaan en te verkopen.

Deze overvloed aan persoonlijke informatie die is opgeslagen op gecentraliseerde servers is een goudmijn geworden voor stalkers, misbruikers en doxxers.”

Narek Gevorgyan, CEO & oprichter bij CoinStats

De financiële apps die het meeste van je persoonlijke gegevens verkopen

Financiële apps die de meeste privégegevens verkopen

Robinhood, een populaire investeringsapp, verkoopt 86% van de verzamelde gegevens aan derden. Dit omvat je financiële informatie, aankoopgeschiedenis en details over wat je online hebt gezocht. PayPal, Chime en Google Pay lopen niet ver achter en verkopen elk 79% van de gegevens die ze verzamelen.

Je gegevens kunnen veel geld opleveren voor deze bedrijven. Amerikaanse bedrijven hebben in 2018 $19 miljard uitgegeven om persoonlijke gegevens op te kopen. Veel derden zijn bereid voor deze informatie te betalen omdat ze deze kunnen gebruiken om meer gerichte en efficiënte advertenties te maken.

Ook zijn er tal van andere problemen met het verkopen van gegevens aan derden. Gevorgyan zegt dat “de gegevens die door fintech-apps worden verzameld tot ernstige gevolgen zullen leiden als ze in de verkeerde handen vallen, waaronder ransomware, phishing, en social engineering-aanvallen”.

Uiteindelijk geldt: hoe meer bedrijven je gegevens opslaan, hoe groter het risico op een inbreuk. Je hebt geen controle over aan wie je gegevens worden verkocht, waar ze worden opgeslagen, of hoe ze worden gebruikt. Kwaadwillenden kunnen hiervan profiteren door proberen in te breken in je persoonlijke accounts of je identiteit te klonen.

De financiële apps die het meeste van je persoonlijke gegevens gebruiken

apps financieren die de meeste privégegevens verzamelen

Nogmaals, Self is de slechtste app als het gaat om het opslaan en gebruiken van je gegevens. Slechts 16 van de top 50 apps verzamelden deze mate van gegevens. Coinbase, de meest populaire cryptocurrency-app, scoorde als de beste en bewaarde slechts 7% van de gegevens voor eigen gebruik.

Over het algemeen gebruiken bedrijven deze gegevens om je aan te moedigen meer van hun producten te kopen of om grootschalige analyses uit te voeren om hun bedrijf te verbeteren. Dit is allemaal afkomstig van gegevens die je gratis hebt verstrekt, die werden gebruikt om je ertoe te brengen hen meer geld te geven.

Wat dit resultaat ons vertelt, is dat apps niet zoveel persoonlijke gegevens hoeven bij te houden. Geen van de platforms die de gegevens voor zichzelf gebruiken, slaan browsergeschiedenis op. Overigens gebruikt alleen Fidelity je zoekgeschiedenis.

Conclusie

Deze studie toont aan dat zelfs financiële apps enorme hoeveelheden privégegevens van hun gebruikers opslaan en verkopen. Gecentraliseerde apps die trots zijn op het democratiseren van het financiële systeem, zoals Robinhood, of op het aanbieden van een ‘veiligere manier om geld te verzenden’, zoals PayPal, behoren tot de ergste overtreders als het gaat om het profiteren van de gegevens van hun klanten.

Dit spreekt tot een van de grootste problemen met online gegevensprivacy; het feit dat de beloningen en stimulansen worden betaald aan de bedrijven die het verzamelen, in plaats van aan de mensen die het verstrekken. Blockchains en cryptocurrency bieden een mogelijke oplossing, en browsers zoals Brave bieden al een manier om de tussenpersoon uit te schakelen en je te belonen voor je gebruik en gegevens.

[DeFi] is de enige manier om toegang te krijgen tot het financiële systeem zonder je persoonlijke gegevens los te hoeven laten. Het is veiliger, transparanter en inclusiever dan bestaande financiële systemen.”

Narek Gevorgyan, CEO & oprichter bij CoinStats

Op grotere schaal maken gedecentraliseerde blockchains de noodzaak voor tussenpersonen overbodig. Gevorgyan stelt dat met blockchain-technologie “eindgebruikers meer controle zullen hebben over hun gegevens, hoe ze deze delen, en met wie ze dat doen”, en het biedt “de enige manier om toegang te krijgen tot het financiële systeem zonder je persoonlijke gegevens vrij hoeven te geven”.

Dit spreekt tot een toekomst waarin je je geen zorgen meer hoeft te maken over welk groot technologiebedrijf de controle heeft over je gegevens en aan wie ze deze verkopen. Tot die tijd dien je echter voorzichtig te zijn waar je je voor aanmeldt.

Transcript van het volledige interview met Narek Gevorgyan, CEO & oprichter bij CoinStats

Invezz ging zitten met Narek Gevorgyan, de CEO en oprichter van CoinStats, om zijn mening te krijgen over gegevensprivacy, de gevaren van gecentraliseerde financiële apps, en het potentieel van DeFi om enkele van deze problemen op te lossen. Het volledige, onbewerkte transcript van het interview staat hieronder.

Invezz: Om te beginnen, wat zijn volgens u in grote lijnen de gevaren van apps die onze privégegevens opslaan en vaak verkopen?

Narek Gevorgyan: Het is geen verborgen feit dat onze persoonlijke gegevens routinematig door honderden en mogelijk duizenden bedrijven worden gekocht en verkocht. In de digitale wereld van vandaag is data macht. De meeste apps en websites verzamelen petabytes aan gegevens van miljarden mensen. Als je tegenwoordig internet gebruikt, is het voor bedrijven niet bijzonder ingewikkeld om je voorkeuren, favorieten en andere soortgelijke kenmerken vast te stellen. Aangezien deze gegevens zeer inzichtelijk zijn, worden ze meestal gebruikt om gerichte advertentiecampagnes te stimuleren.

Het probleem: onze privacy staat op het spel! Er worden stapels persoonsgegevens gebruikt om democratische processen zoals stemmen te beïnvloeden (Cambridge Analytica). En dit is nog maar het topje van de ijsberg! Dagelijks is deze overvloed aan persoonlijke informatie die op gecentraliseerde servers is opgeslagen een goudmijn geworden voor zowel stalkers, misbruikers als doxxers.

IZ: Uit ons onderzoek bleek dat 92% van de top 50 financiële apps in de App Store onze gegevens op de een of andere manier bijhoudt. Kunt u iets zeggen over de specifieke risico’s van het gebruik van financiële apps die zoveel persoonlijke gegevens verzamelen?

NG: Sinds het mainstream werd, zijn fintech apps het doelwit geworden voor hacks en cyberaanvallen. Dit zou geen verrassing moeten zijn, aangezien fintech gelijk staat aan geld en PII (persoonlijk identificeerbare informatie). Nu de meeste financiële apps tonnen gegevens van consumenten verzamelen (en deze vervolgens opslaan op servers van derden), neemt de cybercriminaliteit toe.

Zie het zo: je creditcardmaatschappij slaat details op over elke transactie die je doet. Je financiële gewoontes vormen een groot deel van je consumentenpersoonlijkheid. Al deze informatie kan worden gebruikt om profielen van je te maken – je koopgewoonten, voorkeuren en antipathieën, of je alleenstaand of getrouwd bent, je recente aankopen … de lijst gaat maar door. En met fintech apps die deze gegevens verzamelen, zou het geen verrassing moeten zijn als je telkens wanneer je online gaat uiterst herkenbare advertenties of call-to-actions ziet. Helaas gaat het verder dan gerichte advertenties en CTA’s. Als deze gegevens in de verkeerde handen komen, denk ik dat het tot ernstige gevolgen kan leiden, waaronder ransomware-, phishing-, en social engineering-aanvallen.

IZ: Denk je dat het juist is dat deze apps gegevens van hun gebruikers verzamelen en er vaak van profiteren? Is er een alternatief voor het gebruik van deze apps om te investeren waarbij we de controle over onze informatie niet aan derden overdragen?

NG: Nou, als iemand profiteert van andermans persoonlijke eigendommen, denk ik dat dat op geen enkele manier gerechtvaardigd is! Maar nogmaals, dat is hoe de meeste van onze huidige gecentraliseerde systemen werken. In de Web2-infrastructuur zijn er enkele voorschriften, waaronder de AVG, CCPA en FCRA, maar deze kunnen slechts tot op zekere hoogte helpen. De eindgebruikers hebben online over het algemeen niet veel controle over hun gegevens, wat de oorzaak van het probleem is.

De waarheid is dat gegevens altijd een sleutelrol zullen spelen bij het verkrijgen van toegang tot online producten en diensten, of het nu op Web2 of Web3 is. Met Web3 hebben eindgebruikers echter meer controle over hun gegevens, hoe ze deze delen en met wie ze deze delen. Web3-gebruikers kunnen bijvoorbeeld volledige controle uitoefenen over hun gegevens, dankzij nieuwe, op privacy gerichte oplossingen zoals zkSnarks, Groth16 en Decentralized Identifiers (DID’s). In deze context denk ik dat DeFi (decentralized finance) een veelbelovend alternatief is voor het gebruik van apps die over het algemeen informatie verzamelen en doorgeven aan derden.

IZ: De afgelopen jaren is er een drastische toename geweest van het aantal DeFi apps, hetgeen een nieuwe manier van investeren biedt. Hoe gaan gedecentraliseerde apps om met de persoonlijke gegevens van hun gebruikers en hoe kunnen ze de service verbeteren die we gewend zijn van het oude systeem?

NG: Gedecentraliseerde applicaties, of dApps, worden mogelijk gemaakt door autonome slimme contracten. Wanneer aan de vooraf ingestelde criteria wordt voldaan, wordt het contract automatisch uitgevoerd. Als zodanig stellen dApps gebruikers in staat toegang te krijgen tot een breed scala aan producten en diensten zonder tussenpersonen of gecentraliseerde autoriteiten. Jij, de gebruiker, krijgt volledige controle over je transacties en er is niemand die je activiteiten bekijkt of volgt. Bovendien vragen de meeste dApps de gebruiker niet eens om persoonlijke informatie in te voeren om de aangeboden functie te gebruiken. Als het gaat om gebruikersgegevens, maken dApps gebruik van de functies van het onderliggende blockchain-netwerk om de gegevensprivacy te beschermen en tegelijkertijd een censuurbestendig ecosysteem te bevorderen. Omdat alle gegevens worden opgeslagen via een P2P (peer-to-peer) netwerk, blijven de gegevens beveiligd tegen cyberaanvallen (omdat er geen enkel storingspunt is).

IZ: Wat zou je zeggen tegen een gebruiker die dit onderzoek heeft gelezen en zich zorgen maakt over het feit dat hij zoveel persoonlijke informatie moet overhandigen om toegang te krijgen tot het financiële systeem?

NG: Doe mee met de DeFi-revolutie! Het is de enige manier om toegang te krijgen tot het financiële systeem zonder je persoonlijke gegevens los te hoeven laten. Het is veiliger, transparanter en inclusiever dan bestaande financiële systemen. Bovendien heb je de volledige controle over je gegevens. Er zijn geen gecentraliseerde autoriteiten, tussenpersonen of diensten van derden, wat DeFi democratischer maakt en jou (de consument) tegelijkertijd centraal stelt in de waardepropositie.


Bronnen & referenties
Risico melding

Invezz is een plek waar mensen betrouwbare, onpartijdige informatie kunnen vinden over financiën, handel en beleggen. Maar we bieden geen financieel advies. Gebruikers moeten altijd hun eigen onderzoek doen. De activa, die op deze website worden behandeld, inclusief aandelen, cryptocurrencies en grondstoffen, kunnen zeer volatiel zijn en nieuwe investeerders verliezen vaak geld. Succes op de financiële markten is niet gegarandeerd en gebruikers mogen nooit meer investeren dan ze zich kunnen veroorloven te verliezen. U dient uw eigen persoonlijke omstandigheden in overweging te nemen en de tijd te nemen om al uw opties te verkennen, voordat u een investering doet. Lees onze risico aanwijzingen >

James Knight
Editor of Education
James is een lead content editor voor Invezz. Hij is een fervent handelaar en golfer, die buitensporig veel tijd aan het kijken naar Leicester City en… lees meer.