Project Polar: een verantwoording

Hoe breng je op een verantwoordelijke manier informatie naar buiten die mensen in gevaar kan brengen, terwijl iedereen van de risico’s op de hoogte moet worden gebracht?

Vandaag publiceren wij Daarin onthullen we dat het een koud kunstje is om via deze fitness-app de namen en adressen te achterhalen van medewerkers van geheime diensten, mensen die werken op locaties waar kernwapens liggen opgeslagen en militairen op missie. Niet alleen in Nederland, maar wereldwijd.

Er is een groot maatschappelijk belang gediend bij deze publicatie. Ons onderzoek legt een bestaand en groot risico bloot, namelijk dat Polar en andere fitness-apps onbedoeld de namen en adressen van mensen kunnen openbaren die absoluut niet bekend mogen worden. Dit kan levens van militairen of van hun gezinnen in gevaar brengen, militaire missies compromitteren of de staatsveiligheid bedreigen. Deze mensen hebben daadwerkelijk iets te verbergen.

Het gaat hier om informatie die iedereen kan vinden en misbruiken. Misschien is dit al gebeurd.

We beseffen: dit kan mensen op verkeerde ideeën brengen

Terwijl we bezig waren met dit verhaal, beseften we dat er een grote verantwoordelijkheid bij ons lag. Dit verhaal en de uitleg van de gebruikte methoden, kan mensen op verkeerde ideeën brengen. Maar dit weerhoudt ons niet van publicatie. Juist door de omvang van dit probleem – er zijn tientallen vergelijkbare apps, miljoenen gebruikers en ontelbare partijen die hier risico’s door lopen – is informatie over dit bestaande risico noodzakelijk.

Wij hopen dat deze publicatie ertoe leidt dat er een groter bewustzijn ontstaat over dit soort technologie. Bij gebruikers, overheden en bedrijven.

Uit ons onderzoek blijkt dat schrikbarend weinig mensen de risico’s kennen. Zelfs medewerkers van inlichtingendiensten en Defensie waren niet op de hoogte. Kun je het je in die positie veroorloven zo slordig om te gaan met je locatiedata?

Hopelijk schudden we overheden en werkgevers wakker. Hebben ze enig idee welke veiligheidsmaatregelen teniet worden gedaan door slordig app-gebruik? Worden de bestaande maatregelen wel goed gecontroleerd en gehandhaafd?

Uit dit onderzoek blijkt van niet. Ondanks het eerder dit jaar, toen die Amerikaanse fitness-app per ongeluk de locatie van een militaire basis onthulde, hebben we nog steeds militairen en medewerkers van inlichtingendiensten getraceerd die Strava gebruiken.

Ook hopen we technologiebedrijven wakker te schudden. Ze maken prachtige apps, maar denken onvoldoende na over de gevoeligheid van de data die ze verzamelen. Ze overschatten de kennis hierover onder hun gebruikers en zijn maar moeilijk aan te zetten om serieuze beschermingsmaatregelen te nemen. Realiseren zij zich dat een puur technologische of juridische benadering van hun dienst niet voldoende is?

Hoe we met de data omgingen

We hebben met onze security-specialisten aan het begin van het onderzoek een uitgebreide dreigingsanalyse gemaakt. Onze grootste zorg was de veiligheid van de gevonden personen. De door ons verzamelde gegevens over hen mochten onder geen beding in verkeerde handen vallen.

Wij zijn vanaf het begin af aan met de grootst mogelijke zorgvuldigheid met de informatie omgegaan. Het aantal mensen dat toegang had tot de data, hielden we zo klein mogelijk. We hebben de data standaard versleuteld op extra beveiligde informatiedragers geplaatst, die niet met het internet verbonden waren.

Onderlinge communicatie over de stukken verliep via versleutelde kanalen. We hebben op geen enkel moment de ‘cloud’ gebruikt om gevoelige informatie op te slaan of te delen. Onze systemen zijn tijdens het onderzoek extra gemonitord op hackpogingen en kwetsbaarheden.

Omdat het moment van publicatie nabij kwam, zijn we vorige week steeds meer informatie over het project gaan delen met collega’s op de redactie, waar we het lange tijd alleen hadden gehad over het ‘project mondje dicht’. Daarbij zijn geen gegevens van gevonden personen verstrekt. Voor we de infographics lieten maken, hebben we identificerende gegevens

Ook aan andere partijen waarmee wij contact hebben gehad – van het ministerie van Defensie tot journalisten van andere media – hebben wij geen gegevens over individuen verstrekt.

Afgelopen dinsdag hebben wij alle data definitief gewist van onze beveiligde informatiedragers.

Hoe wij andere partijen hebben geïnformeerd

Het was belangrijk zo snel mogelijk alle betrokken partijen te informeren over dit veiligheidsprobleem, zodat zij genoeg tijd hadden om maatregelen te nemen. Dit was een enorme taak, gezien het aantal partijen dat actie moest ondernemen: ministeries van Defensie over de hele wereld, inlichtingendiensten, Polar en andere app-bouwers en andere ministeries, zoals het ministerie van Justitie en Veiligheid.

Als eerste hebben wij op vrijdag 22 juni het ministerie van Defensie ingelicht. Die maandag hebben we uitgebreid onze bevindingen toegelicht op het ministerie.

Wij wilden Defensie ruim de tijd geven om maatregelen te nemen, zodat bepaalde werknemers – denk aan leden van inlichtingendienst MIVD of militairen op missie – niet in gevaar zouden komen als we publiceerden.

Ook verzochten wij het ministerie ons te helpen contact te leggen met collega-ministeries van andere landen die wij in ons onderzoek tegenkwamen. Ten slotte vroegen wij het ministerie om druk uit te oefenen op Polar, zodat dit Finse bedrijf maatregelen zou nemen.

Defensie kwam direct in actie

Het ministerie heeft direct een aantal maatregelen genomen. Het informeerde haar medewerkers over de risico’s die aan dergelijke apps kleven. Het maakte het onmogelijk dit soort apps te gebruiken op Defensietelefoons (de telefoons die door Defensie aan medewerkers worden verstrekt).

Ook liggen er plannen om voor sommige risicogroepen binnen Defensie – MIVD’ers, militairen op missie – het gebruik van dit soort technologie in zijn geheel te verbieden.

Op de dag van publicatie heeft het ministerie bovendien een pushbericht gestuurd naar alle medewerkers, dat specifiek waarschuwt voor het gebruik van Polar. Defensie nam ook contact op met collega-ministeries in andere landen waarvan wij medewerkers in ons onderzoek hadden getraceerd. Het ministerie heeft andere departementen gewaarschuwd. Ook heeft het ministerie Polar benaderd.

Met alle maatregelen heeft het ministerie naar ons oordeel adequaat gereageerd op onze onderzoeksresultaten. We hebben vrijwel dagelijks contact met het ministerie gehouden om elkaar op de hoogte te houden van de vorderingen.

Polar leek het allemaal niet serieus te nemen

Op 25 juni namen we contact op met het Finse bedrijf Polar en legden we het onze bevindingen voor. Daarnaast hebben we uitgebreid verteld van welke fouten in de app wij gebruik hebben gemaakt en deden we suggesties over hoe die fouten zijn op te lossen. Ook vroegen we het bedrijf een onafhankelijke adviseur in te huren om de systemen van Polar na te lopen en te testen.

Het contact verliep aanvankelijk moeizaam. Eerst communiceerden we alleen via twee technici. Zij gaven ons niet het idee dat Polar de ernst van de situatie inzag. Het bedrijf deelde ons in eerste instantie mee dat het alleen een aantal minimale aanpassingen zou doen aan de site en de app.

Hierop zochten we contact met de Finse journalist van die wij kennen en vertrouwen. Zij heeft de druk op Polar opgevoerd en ervoor gezorgd dat het hogere management erbij betrokken werd.

Ook dat leidde niet tot de gewenste actie. Volgens Marco Suvilaakso, chief strategy officer van Polar, hield zijn bedrijf zich keurig aan de en is het de verantwoordelijkheid van mensen zelf om te bepalen welke data zij wel en niet publiekelijk delen.

Intussen spoorden wij Nikkanen en het Nederlandse ministerie van Defensie aan om contact op te nemen met het Finse ministerie van Defensie. Een Amerikaanse journalist met wie we samenwerken, van CBS News, oefende tegelijkertijd druk uit op vertegenwoordigers van Polar in de Verenigde Staten.

Het scherm gaat op zwart

Uiteindelijk, op woensdag 4 juli, kregen wij bericht van het bedrijf dat het alsnog besloten heeft de kaart op de site helemaal op zwart te zetten. Hierdoor is het inmiddels niet meer mogelijk om de identiteiten en hardlooprondjes te achterhalen en zijn de risico’s voor de gebruikers na publicatie van ons stuk weggenomen.

Vanaf vorige week dinsdag hebben we ook andere technologiebedrijven geïnformeerd:

De problematiek bij de andere app-bouwers is net iets anders dan bij Polar. Met de kennis van de problemen met Polar kan niemand de andere apps misbruiken om gevoelige gegevens te achterhalen.

Onze artikelen over Project Polar zijn naar het Engels vertaald en staan in onderstaande collectie. De Nederlandse collectie met alle stukken is daaronder te vinden.