Hoe een fitness app een internationaal veiligheidsrisico kan vormen

Soms kan een goedbedoelde functionaliteit onbedoelde veiligheidsrisico’s met zich meebrengen. Polar, het Finse bedrijf dat bekend staat om zijn smartwatches en fitness-wearables, verzamelt data van duizenden gebruikers voor haar Polar Flow Explore-website. Maar behalve informatie over bijvoorbeeld hun fiets- en hardloopactiviteit, delen Polar-gebruikers ook hun mogelijk gevoelige locatie.

Neem bijvoorbeeld Tom, die voor een missie is uitgezonden naar Irak en vlakbij de luchthaven van Erbil is gelegerd. Dit is een van de belangrijkste gebieden in het noorden van Irak, waar militairen strijden met terroristische groepen die gelieerd zijn aan IS. Tom loopt elke week hard en gebruikt daarbij zijn fitnesshorloge.

Combineren van verschillende data: adressen en foto’s achterhaald van 6460 individuen

Dankzij Polar Flow Explore zagen journalisten dat zijn wekelijkse rondje altijd begon en eindigde bij dezelfde groep huizen in een dorpje in het noorden van het land – mogelijk zijn basis. Aan de hand van zijn Polar-account, Facebook-profiel en openbare informatie van zoekmachines, achterhaalden journalisten bovendien Toms volledige naam, zijn thuisadres en informatie over familieleden.

Door de Polar Flow-data te combineren met social media-profielen en andere openbare informatie, wisten Nederlandse journalisten samen met het Bellingcat-netwerk voor burgerjournalistiek namen, adressen en foto’s te achterhalen van maar liefst 6460 individuen. De goedbedoelde functionaliteit van Polar – het delen van gps-routes met andere Polar-gebruikers – bleek duidelijke veiligheidsrisico’s met zich mee te brengen voor medewerkers van militaire bases, kerncentrales en nationale veiligheidsdiensten overal ter wereld.

Witte vlekken op een donkere kaart: geheime militaire bases

Polar is echter geen uitzondering. Ook apps als Strava hebben militair personeel inmiddels geadviseerd om hun activiteiten niet langer op openbaar te zetten, nadat was gebleken dat data over routes die online werd gedeeld, eenvoudig gevoelige locaties prijsgaf. In gebieden als Afghanistan en Syrië wordt Strava vrijwel uitsluitend gebruikt door buitenlandse militairen, en op de wereldwijde heatmap van Strava lichten de geheime militaire bases dan ook meteen op als witte vlekken op een verder vrijwel donkere kaart.

Ogenschijnlijk onschuldige data kan eenvoudig worden misbruikt

Dit soort incidenten maken deze fitness apps meteen een stuk minder onschuldig. Sterker nog, ze kunnen zelfs een groot veiligheidsrisico vormen: als journalisten erin slagen om profielen en mogelijk gevoelige locaties te achterhalen, dan kunnen ook andere kwaadwillende organisaties of individuen deze data gebruiken om militair personeel en medewerkers van nationale veiligheidsdiensten te traceren. Informatie is macht, en kan worden gebruikt voor afpersing, omkoping of erger. En dat betekent dat ogenschijnlijk onschuldige data eenvoudig kan worden misbruikt.

Openbaar of privé?

Polar heeft als reactie de Polar Flow Explore-kaart offline gezet. Het bedrijf heeft verklaard dat alleen gebruikers die de instellingen van hun activiteiten op ‘openbaar’ hebben gezet op de wereldwijde kaart te zien zijn. Ook benadrukt Polar dat de meeste gebruikers inmiddels de instelling ‘privé’ of ‘alleen voor volgers’ gebruiken, in plaats van ‘openbaar’.

Strava heeft haar heatmap niet offline gehaald, maar heeft wel een lijst met aanbevelingen voor haar gebruikers gepubliceerd. Ook zal er met een aantal militaire en overheidsinstellingen kritisch worden gekeken naar de omgang met gevoelige informatie, en zal er worden gewerkt aan een vereenvoudiging van de privacy- en beveiligingsfuncties zodat gebruikers weten hoe ze de controle kunnen behouden over hun eigen data.

Risico’s ontstaan ook zonder hackers

De veiligheidsproblemen met de door Polar en Strava verzamelde data en heatmaps waren niet het gevolg van een grootschalige hack of een datalek. Ook is er niet ingebroken in een militaire database om de exacte locatie van trainingskampen en gevechtsgebieden te vinden. Integendeel, dit probleem deed zich voor ondanks – of misschien wel dankzij – een goedbedoelde functionaliteit in een toepassing voor privégebruik.

Een deel van het probleem ligt bij de eindgebruikers. Het ontbrekende besef dat hun openbare data in verkeerde handen kan vallen, is hierbij cruciaal. Defensieorganisaties en nationale veiligheidsdiensten hebben hierin ook een eigen verantwoordelijkheid, en moeten met richtlijnen komen voor medewerkers wanneer deze gebruikmaken van apps met persoonlijke en locatiegevoelige data, zodat men zich meer bewust is van de risico’s, en weet welke instellingen hierbij van belang zijn.

IoT-devices: de vervagende grens tussen ons professionele en persoonlijke leven

Volgens Joepke van der Linden, squadlead en CISO bij ON2IT, is dit nog maar het topje van de ijsberg. In haar eerdere functie als juridisch adviseur bij bedrijven als Ziggo, Vodafone en T-Mobile, had zij veel te maken met potentiële veiligheidsrisico’s als gevolg van mobiel telefoongebruik in het buitenland. “Een telefoon van de zaak is een duidelijk stuk technologie waarvoor vrij eenvoudig regels kunnen worden opgesteld, maar bij veel nieuwe IoT-devices is de grens tussen ons professionele en persoonlijke leven veel onduidelijker.

Zogenaamde ‘connected’ auto’s, smartwatches en zelfs met wifi verbonden koelkasten en stemassistenten vergroten de mogelijkheden voor hackers die gevoelige gegevens proberen te achterhalen door in te breken in het privéleven van werknemers. Organisaties moeten zich voorbereiden op deze onomkeerbare trend.”

Anoniem vergaarde data veelal onschuldig?

Er was geen hacker nodig om een geheime Amerikaanse basis in Afghanistan te achterhalen, of de exacte locatie van een Nederlandse kerncentrale. Het veiligheidsprobleem ontstond vanuit de aanname dat anoniem vergaarde data veelal onschuldig is, terwijl het juist zeer gevoelige informatie kan prijsgeven. Als er iets is dat we kunnen leren van de Strava en Polar zaken, is dat er een duidelijke discrepantie bestaat tussen het ogenschijnlijk onschuldige gebruik van een fitness app en de verstrekkende gevolgen van de verzamelde data.