30-01-2015

Onderzoekers identificeren klanten in geanonimiseerde dataset met creditcardgegevens

Deel dit bericht

Een anonieme dataset met creditcardgegevens kan een waardevol middel zijn om inzicht te krijgen in trends in koopgedrag van klanten. Dergelijke anonieme datasets blijken echter minder anoniem dan de bedoeling is. Een aanvaller met enige kennis over een doelwit kan dit doelwit zonder problemen opsporen in een geanonimiseerde dataset.

Onderzoekers van de Massachusetts Institute of Technology (MIT) hebben een manier gevonden om mensen terug te vinden in anonieme datasets met creditcardgegevens. Hierdoor krijgen zij inzicht in het koopgedrag van dit specifieke doelwit. Afstudeerstudent Yves-Alexandre de Montjoye zegt in het magazine Science een 94% kans te hebben een doelwit te identificeren.

Informatie over het doelwit
Voor de identificatie van een persoon in een anonieme dataset met creditcardgegevens is enige informatie nodig over het doelwit. Zodra een aanvaller enkele aankopen van de gebruikers heeft weten op te sporen kan hij deze proberen terug te vinden in de dataset. Aanwijzingen dat iemand bepaalde producten heeft gekocht kunnen op allerlei wijzen worden verkregen. Denk hierbij aan een bonnetje dat iemand laat slingeren, een tweet die iemand plaatst over een leuke lunch of een Instagram foto van nieuwe kleding.

Stel we weten bijvoorbeeld dat het doelwit op 3 januari een nieuwe rugzak heeft gekocht, op 5 januari bij een restaurant heeft gelunched en op 9 januari een nieuwe broek heeft aangeschaft. Deze drie aankopen zorgen voor een relatief unieke combinatie, waarvan de kans groot is dat deze slechts één keer voorkomt in de dataset. Door deze aankopen terug te vinden in de dataset kunnen geanonimiseerde creditcardgegevens worden teruggeleid naar een creditcardhouder.

‘Onze privacy is niet echt’
“We laten zien dat de privacy die wij kennen niet echt is”, zegt Alex Pentland, datawetenschapper van MIT, tegen persbureau Associated Press. Het onderzoek toont aan dat het anonimiseren van dit soort data niet voldoende is om de privacy van klanten te beschermen.

Partners