Met deze fitness-app kan iedereen de namen en adressen achterhalen van duizenden militairen en geheim agenten
De fitness-app van het Finse bedrijf Polar brengt militairen, geheim agenten en medewerkers van locaties waar kernwapens liggen in gevaar. Het is doodsimpel om hun namen en adressen te achterhalen, blijkt uit onderzoek van De Correspondent en onderzoeksgroep Bellingcat. In totaal traceerden we 6.460 individuen met 69 verschillende nationaliteiten.
Op zaterdagochtend 9 mei 2018 rent een Nederlander langs een landingsbaan van het vliegveld van Erbil, een stad in Noord-Irak. Hij doet het rustig aan. In 29 minuten en 34 seconden legt hij 4,7 kilometer af.
Om zijn pols draagt hij een digitaal horloge, de Polar V800. Zo volgt hij tijdens het joggen zijn snelheid, de afgelegde afstand en zijn calorieverbruik.
De man, we noemen hem Ton, is een Nederlandse militair die deel uitmaakt van de Capacity Building Mission in Irak, een missie die bij de luchthaven van Erbil is gelegerd. Dit is een van de belangrijkste plekken van waaruit sinds 2015 de strijd tegen de terroristische groepering Islamitische Staat wordt gevoerd.
Het is absoluut niet de bedoeling dat wij weten wie Ton is en waar hij is gelegerd. En het is al helemaal niet de bedoeling dat wij weten waar Ton woont.
Toch zien we via een kaart met sportactiviteiten van de sport-app Polar dat veel van zijn hardlooprondjes bij een groepje huizen in een klein dorp in het noorden van het land beginnen en eindigen. Met wat googelen vinden we zijn exacte adres. En we vinden de namen en foto’s van zijn vrouw en kinderen.
Polar heeft afgelopen vrijdag de kaart waarmee wij de identiteit en woonadressen konden vinden, uit de lucht gehaald. Ook plaatste het bedrijf een korte verklaring op zijn site. Het bedrijf zegt dat gebruikers er bewust voor hebben gekozen om hun activiteiten op de kaart te delen. Deze deelfunctie staat standaard uit. Op onze vraag of dit altijd het geval is geweest - wij vonden ook activiteiten van jaren geleden - heeft Polar niet geantwoord. Volgens het Finse bedrijf kiest slechts twee procent van de gebruikers om hun activiteiten op de kaart te delen.
Desondanks vonden wij samen met onderzoeksgroep Bellingcat op meer dan tweehonderd gevoelige locaties 6.460 individuen met 69 verschillende nationaliteiten.
We traceerden bijvoorbeeld de namen en adressen van drie andere militairen die werkzaam zijn of waren in Erbil. En namen en adressen van medewerkers van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
Het gemak waarmee we deze informatie vinden, staat in sterk contrast met de veiligheidsmaatregelen die het ministerie van Defensie neemt om haar personeel te beschermen. Ter illustratie: pas sinds een paar maanden mogen militairen weer met uniform in het openbaar vervoer reizen: de afgelopen vier jaar was dit verboden, uit vrees voor aanslagen door terroristische groeperingen als IS.
Namen van inlichtingenmedewerkers zijn staatsgeheim
Het ministerie hanteert verder strikte regels om de identiteit van inlichtingenmedewerkers (MIVD) en special forces geheim te houden. De namen en adressen van inlichtingenmedewerkers zijn staatsgeheim. Ook bestaat er ‘een restrictief’ namenbeleid voor militaire missies. Zo dienen de Nederlandse militairen op de basis van Erbil waar Ton rent elkaar alleen met de voornaam aan te spreken.
Als de identiteit van werknemers in deze risicogroepen bekend wordt, legt een woordvoerder van Defensie ons uit, lopen niet alleen deze militairen gevaar, maar ook de gehele operatie én de staatsveiligheid van Nederland. In veel andere landen geldt ook strikte geheimhouding voor vergelijkbare namen. In de VS bijvoorbeeld is het strafbaar om de identiteit van een geheim agent te delen, en kun je er een celstraf van tien jaar voor krijgen.
Met onderzoeksgroep Bellincat vonden we op meer dan 200 gevoelige locaties 6.460 individuen met 69 verschillende nationaliteiten
Toch vonden we namen en adressen van medewerkers van inlichtingendiensten zoals de NSA en de Secret Service in de Verenigde Staten, de GCHQ en MI6 in Engeland, de GRU en SVR RF in Rusland, de DGSE in Frankrijk en dus van onze eigen Militaire Inlichtingen- en Veiligheidsdienst, MIVD.
We vonden namen en adressen van medewerkers op militaire bases, zoals Guantánamo Bay in Cuba, Erbil in Irak, Gao in Mali en bases in Afghanistan, Saudi-Arabië, Qatar, Tsjaad en Zuid-Korea.
Ook achterhaalden we namen en adressen van medewerkers van nucleaire opslagplaatsen, extra beveiligde gevangenissen, militaire vliegvelden waar kernwapens liggen opgeslagen en dronebases.
We vonden deze informatie niet door te hacken of via andere technische hocus pocus, maar door een beetje handig te zoeken op de landkaart die Polar online heeft staan. Die laat alle sportieve activiteiten zien van de gebruikers van de Polar-app sinds 2014. Iedereen met basiskennis van computers en een dosis gezond verstand kan deze informatie vinden.
Zo traceerden we de woonadressen:
Op deze manier konden we 6.460 gebruikers vinden die sinds 2014 op of rond dit soort gevoelige locaties hebben gesport. Van hen heeft bijna 90 procent een naam en woonplaats ingevuld op zijn of haar profielpagina, wat het zoeken naar hun woonadres een stuk makkelijker maakt.
Sommige gebruikers verstoppen zich wijselijk achter een privéprofiel, maar door een stomme fout in de Polar-app lukte het ons meestal alsnog om de identiteit van de sporter te achterhalen. Zo vonden we de namen en adressen van medewerkers van de NSA, de MIVD en de Russische inlichtingendienst GRU.
Een andere domme fout in de technologie van Polar is dat er geen rem zit op hoeveel informatie je kunt opvragen. Het lukte ons bijvoorbeeld om van die 6.460 gebruikers automatisch alle activiteiten van over de héle wereld te vinden, wat het voor ons een stuk eenvoudiger maakte om hun woonadres – een plek waar veel sportactiviteiten beginnen en eindigen – automatisch te achterhalen.
De namen en adressen van militairen en geheim agenten wereldwijd liggen dus op straat
De namen en adressen van militairen en geheim agenten wereldwijd liggen dus op straat. Twee weken geleden hebben we het Nederlandse ministerie van Defensie daarover ingelicht. Het ministerie heeft ons geholpen om buitenlandse ministeries en inlichtingendiensten te waarschuwen.
Verder belooft het ministerie dat het op korte termijn een plan opstelt om voor ‘bepaalde medewerkers onder bepaalde omstandigheden’ het gebruik van zulke sport-apps op privételefoons en technologie zoals wearables te verbieden.
Het ministerie heeft het nu al technisch onmogelijk gemaakt om fitness-apps te gebruiken op de werktelefoons, de ‘Defensie-telefoons’ die medewerkers krijgen. Al het personeel is inmiddels ‘ingelicht over de gevaren’ van sport- en fitness-apps en ‘bijbehorende wearables’.
Dit incident staat niet op zichzelf. In januari kwam fitness-app Strava in het nieuws, omdat het bedrijf een wereldkaart online had staan met daarop alle activiteiten van alle hardlopers die de app gebruikten. Daarmee kon vrij gemakkelijk de locatie van militaire bases worden achterhaald.
Daarom hebben we voor ons onderzoek de populaire apps Strava, Runkeeper en Endomondo getest. Hoewel het daar niet zo makkelijk is om mensen te identificeren en woonadressen te achterhalen als bij Polar, lukte dit uiteindelijk ook bij deze apps.
We hebben geen aanwijzingen dat, zoals bij Polar, mensen die hun profiel op privé hebben gezet ook kunnen worden geïdentificeerd. Deze apps zijn vorige week op de hoogte gesteld.
Dus?
‘Dit is zo’n voorbeeld waaruit blijkt hoe belangrijk het is om je bewust te zijn van wat alle beschikbare digitale technieken voor gevolgen kunnen hebben’, zegt minister van Defensie Ank Bijleveld (CDA) in een reactie op dit onderzoek. ‘Technologisch kan er steeds meer, maar dat vraagt ook dat we onze beveiliging steeds aanpassen en het bewustzijn vergroten.’
Het is goed nieuws dat de minister de ernst van de zaak inziet. Maar het is niet de eerste keer dat zij beterschap belooft. Na het Strava-incident in januari waarschuwde het ministerie van Defensie zijn medewerkers. Wij hebben voor dit onderzoek ook naar Strava gekeken. Het bleek bij deze app niet zo makkelijk als bij Polar om namen en huisadressen te vinden. Maar we vonden ze wel. Ook van Nederlandse militairen.
De naam Ton in dit artikel is gefingeerd. Onze artikelen over Project Polar zijn naar het Engels vertaald en staan in onderstaande collectie. Onze Nederlandse collectie met alle stukken is daaronder te vinden.