Ethische hacker legt privacylek in parkeerapps bloot: ‘Een ramp voor onze privacy’

Via een privacyexperiment toont Inti De Ceukelaire dat niet alleen ordediensten, maar ook doorsnee burgers via nummerplaatherkenning locatiegegevens kunnen achterhalen.
Elisa Hulstaert

Een privacyexperiment van ethische hacker Inti De Ceukelaire toont aan dat iedereen met een nummerplaat getraceerd kan worden in parkeerlocaties met nummerplaatherkenning of bij gratis straatparkeren. ‘Er wordt veel te weinig stilgestaan bij de risico’s van nieuwe technologie’, zegt onderzoeksprofessor Rosamunde Van Brakel.

Slimme camera’s worden steeds vaker ingezet: ze helpen ordediensten om snel en gericht verdachten op te sporen, gsm-gebruik achter het stuur te detecteren en wagens te controleren die een lage-emissiezone binnenrijden. Tegenwoordig wordt dat type camera’s zelfs ingezet als betaalmiddel: via nummerplaatherkenning kan je in heel wat parkeergarages automatisch in- en uitrijden zonder daarvoor een ticket te moeten halen. In een mobiele app zijn de betalingsgegevens namelijk gelinkt aan je nummerplaat. ‘Het mag dan wel praktisch zijn, het blijkt een ramp voor onze privacy’, zegt Inti De Ceukelaire.

Tijdens het onderzoek wisten we een Belgische nummerplaat op meer dan 1000 km te lokaliseren, tegen de Spaanse grens.

Inti De Ceukelaire

Via een privacyexperiment toont De Ceukelaire dat niet alleen ordediensten, maar ook doorsnee burgers via nummerplaatherkenning locatiegegevens kunnen achterhalen. Hij kreeg van 120 mensen de toestemming 100 dagen lang de locatie van hun voertuig te traceren. Door gebruik te maken van populaire parkeerapplicaties als 4411 en Indigo Neo (eerder bekend als OPnGo) wist hij maar liefst 29 procent van de wagens op te sporen.

Kinderspel

Omdat die applicaties niet controleren of de ingegeven nummerplaat eigendom is van de gebruiker, blijkt het kinderspel om te achterhalen wanneer een voertuig ergens geparkeerd staat. Door nummerplaten in te geven in de parkeerapp, wist De Ceukelaire meteen wanneer iemand een garage inreed. Daarbij maakt het niet uit of de bestuurder zelf de parkeerapp gebruikt. Het enige obstakel is dat degene die de parkeersessie onderschept er ook effectief voor moet betalen, ‘maar met een gemiddelde van 7,82 euro per succesvol getraceerd voertuig is dat tientallen keren goedkoper dan pakweg een privédetective’, licht De Ceukelaire toe.

Ook parkeren op straat, weg van de slimme parkeergarages, garandeert geen privacy. De Ceukelaire ontwikkelde voor zijn experiment een tool om gratis parkeersessies op te sporen, dat op het einde van elke dag duizenden digitale parkeermeters aanspreekt met de vraag of er nog gratis parkeertijd beschikbaar is voor de te traceren voertuigen. ‘Als mijn systeem er niet in slaagt om een gratis parkeersessie van één seconde aan te maken voor een nummerplaat, dan weet ik met zekerheid dat het voertuig diezelfde dag in die specifieke zone heeft geparkeerd.’ Momenteel werkt die tool enkel op locaties die via 4411 gratis parkeertijd aanbieden, zoals Aalst, Antwerpen, Beveren, sommige delen van Brussel, Chaleroi, De Panne, Gent, Hasselt, Doornik en Turnhout.

Function creep

Het experiment van De Ceukelaire toont aan dat iedereen met een nummerplaat getraceerd kan worden in parkeerlocaties met nummerplaatherkenning of bij gratis straatparkeren. ‘Dat verrast me niet’, zegt Rosamunde Van Brakel, onderzoeksprofessor surveillance studies aan de VUB. ‘Het experiment toont aan dat er in de praktijk nog veel te weinig wordt stilgestaan bij de risico’s van nieuwe technologie. Vroeger waren die technologieën vooral in handen van defensie en politie. De laatste decennia zie je een duidelijke verschuiving: door de democratisering van de technologie wordt virtuele surveillance toegankelijk voor doorsnee burgers. Het wordt ook steeds meer genormaliseerd.’

Van Brakel ziet steeds hetzelfde gebeuren: persoonsgegevens, software of middelen worden plots voor heel andere doeleinden gebruikt dan waarvoor ze oorspronkelijk bedoeld waren. ‘Dat noemt men function creep. Overheden staan te weinig stil bij hoe dat vermeden kan worden. Dat is een algemeen probleem binnen het beleid rond nieuwe technologie.’

Volgens Van Brakel wordt gegevensbescherming in België als een belemmering gezien. ‘Er bestaat een zekere nonchalance rond technologie. Het wordt gezien als hulpmiddel, als iets wat dingen makkelijker maakt, maar de risico’s ervan krijgen te weinig aandacht. Dat komt door een combinatie van verschillende factoren, deels door een gebrek aan kennis en expertise over wat die risico’s zoal kunnen inhouden.’

Gevaar

Parkeersessies geven bijzonder veel informatie prijs over bestuurders. Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat iemand doet. Zo zijn er tijdens het onderzoek van De Ceukelaire personen gelokaliseerd in de buurt van kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen. Hoe meer momentopnames het systeem kan onderscheppen, hoe groter de kans om te achterhalen wie de bestuurder is.

Waarom worden we niet beschermd door de overheid? De last mag niet op de schouders van de slachtoffers gelegd worden.

Rosamunde Van Brakel

Personen met slechte bedoelingen kunnen ontdekken wanneer iemand van huis is om daar in te breken, of iemand opwachten in de parkeergarage. Mensen die binnen Europa moeten onderduiken voor familiaal- of zelfs oorlogsgeweld lopen daarmee een groot risico. Daarnaast kan ook gelegenheidscriminaliteit een rol spelen, waarbij een auto of bestuurder gevolgd wordt omwille van gedrag, rijkdom of uiterlijke kenmerken.

Europees probleem

Hoewel andere landen met hetzelfde privacyprobleem kampen, is België met 2,55 slimme parkeerplekken per km2 koploper in West-Europa. Ons land telt 78.000 slimme parkeerplekken. ‘Zweden en Frankrijk zijn met 220.000 slimme parkeerplekken recordhouders in Europa, maar de oppervlakte van die landen is veel groter waardoor de “track-kans” kleiner is dan in België’, zegt De Ceukelaire. Hij pleit voor een aanpak op Europees niveau. ‘Tijdens het onderzoek wisten we een Belgische nummerplaat op meer dan 1000 km te lokaliseren, tegen de Spaanse grens. De meeste parkeerbedrijven zijn actief in verschillende landen en moeten dus op Europees niveau worden aangemoedigd om hun privacymaatregelen op te krikken. Het probleem zal alleen maar groter worden in de toekomst, omdat duurzame mobiliteitsplannen steeds meer auto’s omleiden naar parkeergelegenheden buiten het straatbeeld. Bovendien wordt dezelfde technologie in Engeland en Ierland ook al toegepast op tolwegen, dus zelfs wie altijd privé parkeert, kan gelokaliseerd worden.’

Not my plate

Wie zijn privacy wil beschermen, kan via notmyplate.com een GDPR-verzoek indienen bij de parkeerbedrijven om zijn of haar nummerplaat niet langer te verwerken. De Ceukelaire ontwikkelde die website samen met privacy-juristen. ‘De effectiviteit daarvan valt af te wachten, maar het geeft in elk geval een duidelijk signaal aan de uitbaters van slimme parkeergelegenheden dat er snel een structurele oplossing moet komen’, aldus De Ceukelaire. ‘In eerste instantie kunnen ze er bijvoorbeeld voor zorgen dat je niet zomaar een nummerplaat opnieuw kan registreren als die al ergens in het systeem staat. Bij onze testen van twaalf parkeerapplicaties bleek enkel die van Interparking dit te voorkomen.’ Daarnaast stelt De Ceukelaire dat een nummerplaat een persoonsgegeven is dat best niet zomaar gedeeld wordt op het internet, bijvoorbeeld via foto’s op sociale media. Wie wil pronken met zijn wagen, maakt best de nummerplaat onleesbaar.

Volgens Van Brakel zijn dat goede tips binnen het huidige kader, maar ze vraagt zich af waarom burgers zichzelf moeten wapenen. ‘Waarom worden we niet beschermd door de overheid? Niet iedereen beschikt over de kennis en de vaardigheden om zijn rechten te doen gelden. De last mag niet op de schouders van de slachtoffers gelegd worden.’

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content