Het ministerie van defensie verbiedt medewerkers om gebruik te maken van sport- en fitnessapp Polar Flow. Die app is voorlopig niet te gebruiken op diensttelefoons. Via een api van de app voor sporthorloges is geo-informatie van gebruikers te achterhalen. Ook als zij deze in de privacy-instellingen hebben afgeschermd. Door die gegevens te koppelen met openbare informatie zijn personen en looproutes op geheime plekken, zoals militaire locaties, in kaart gebracht.
Dat ontdekten onderzoeksjournalisten van de Correspondent en Bellingcat na een onderzoek naar de app. Zij vonden het euvel in de app Polar Flow, waarmee sporters de route van een afgelegd parcours via hun sporthorloge kunnen vastleggen en opslaan. Polar, heeft de app tijdelijk uit de lucht gehaald en onderzoekt de zaak.
De onderzoeksjournalisten ontdekten een fout in de api van de app waardoor zij informatie van gebruikers konden krijgen die hun profielen hadden afgeschermd (privé-modus). Ook was het aantal verzoeken dat programmeurs per gebruiker konden doen om routes op te vragen ongelimiteerd. Ze ontdekten dat de trainingsgeschiedenis tot en met het jaar 2014 beschikbaar was. Uit die databerg wisten ze allerlei informatie te halen.
De data is met zelfgebouwde software gekoppeld met de geo-locaties van geheime locaties, zoals militaire bases. Zo kwamen zesduizend gebruikers in beeld die de app in de buurt van vertrouwelijke locaties gebruikten. Doordat de meeste sporters daarnaast de app privé gebruiken en het vertrek- en eindpunt meestal de woonlocatie is, is te achterhalen waar deze mensen wonen.
‘Locatiegegevens uitzetten’
Minister van Defensie, Ank Bijleveld schrijft in een brief aan de Tweede Kamer. ‘Het gebruik van bepaalde sport- en fitnessapps op Defensie telefoons wordt vooralsnog onmogelijk gemaakt. Verder wordt dringend geadviseerd om locatiegegevens op telefoons van Defensie standaard uit te zetten en alleen tijdelijk aan te zetten als dit noodzakelijk is.’
De minister benadrukt dat het gebruik van sociale media en slimme mobiele apparatuur wijd verspreid en diep geworteld is en het delen van informatie bij de hedendaagse maatschappij hoort, maar waarschuwt: ‘Voorkomen moet worden dat dit risico’s oplevert voor militairen, hun omgeving en lopende operaties.’ Ze noemt: ‘bewustzijn’ en ‘collegiale controle’ van essentieel belang om er voor te zorgen dat risico’s worden beperkt.
Strava
Eerder werden soortgelijke privacy-issues gemeld met fitnessapp Strava dat ranglijsten publiceerde van de prestaties van gebruikers. Door deze te rangschikken op locatie kon eenvoudig achterhaald worden welke gebruikers bijvoorbeeld op militaire bases in Irak en Afganistan hun rondjes liepen.