image

Defensie blokkeert sport-apps op werktelefoons na datalek

zondag 8 juli 2018, 17:56 door Redactie, 23 reacties

Het ministerie van Defensie heeft het gebruik van bepaalde sport- en fitnessapps op de werktelefoons van militairen voorlopig onmogelijk gemaakt en adviseert het personeel om locatiegegevens op werktelefoons standaard uit te zetten en alleen tijdelijk aan te zetten als dit noodzakelijk is.

Dat heeft minister Bijleveld van Defensie vandaag in een brief aan de Tweede Kamer laten weten. Aanleiding voor de maatregel is dat via de sport- en fitnessapp Polar en de smartwatch van Polar persoonlijke informatie van militairen, burgermedewerkers en medewerkers van inlichtingendiensten in binnen- en buitenland is achterhaald. Begin dit jaar werd al bekend dat het mogelijk was om via de fitness-app Strava de locatie van militaire basissen te achterhalen en wees Defensie militairen op het gevaar van Strava en soortgelijke apps.

Nu blijkt dat het ook mogelijk is om via Polar allerlei informatie over gebruikers van de Polar-smartwatch te vinden, zo laat de Correspondent weten. Samen met onderzoeksgroep Bellingcat werden op meer dan tweehonderd locaties bijna 6500 individuen met 69 verschillende nationaliteiten gevonden. Het ging onder andere om medewerkers van de MIVD. Polar maakt het mogelijk om onbeperkt informatie op te vragen, waardoor de gegevens van de bijna 6500 gebruikers geautomatiseerd konden worden opgevraagd. Dit maakte het eenvoudiger voor de onderzoekers om bijvoorbeeld woonadressen te achterhalen.

Maatregelen

Defensie werd voor de publicatie geïnformeerd, waardoor er aanvullende maatregelen konden worden genomen. "Het personeel is opnieuw geattendeerd op de specifieke kwetsbaarheden van het gebruik van dergelijke apps, zowel in de eigen leefomgeving als in of nabij de werkomgeving. Het gebruik van bepaalde sport- en fitnessapps op Defensie telefoons wordt vooralsnog onmogelijk gemaakt. Verder wordt dringend geadviseerd om locatiegegevens op Defensie telefoons standaard uit te zetten en alleen tijdelijk aan te zetten als dit noodzakelijk is", aldus Bijleveld.

De minister stelt dat Defensie voortdurend aandacht besteedt aan het verhogen van het beveiligingsbewustzijn, ook als het gaat om het zorgvuldig omgaan met persoonsgegevens. "Defensiemedewerkers worden regelmatig gewezen op de risico’s van het delen van persoonsgegevens waarbij een relatie met Defensie kan worden gelegd", schrijft Bijleveld in de brief. De minister laat verder weten dat het creëren en vasthouden van bewustzijn een proces is dat continu de aandacht vraagt en Defensie om die reden recent gestart is met een bewustwordingscampagne om medewerkers stelselmatig te wijzen op de mogelijke risico's van het gebruik van sociale media.

Reacties (23)
08-07-2018, 18:11 door karma4 - Bijgewerkt: 08-07-2018, 18:24
Nu pas? Dat gedoe wat toch een half jaar geleden in het nieuws (link in redactieartikel).
08-07-2018, 18:42 door Remmilou
Door karma4: Nu pas? Dat gedoe wat toch een half jaar geleden in het nieuws (link in redactieartikel).
Militaire kalveren verdrinken héél langzaam. Dan moet je die put ook niet te snel willen dempen...;-)
08-07-2018, 19:13 door [Account Verwijderd]
Door karma4: Nu pas? Dat gedoe wat toch een half jaar geleden in het nieuws (link in redactieartikel).

Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
08-07-2018, 19:15 door [Account Verwijderd] - Bijgewerkt: 08-07-2018, 19:21
Dit is geen datalek maar gewoon een aantal profielen welke de privacy instellingen te openbaar hadden staan, gecombineerd met social engineering. Ligt dus niet aan Polar maar aan het gedrag van de militairen. Je zou denken dat ze inmiddels geïnstrueerd zijn na dat gedoe met Strava.
08-07-2018, 19:40 door karma4
Door linux4:
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Blijft raar dat er met centraal beheer kennelijk wel de app geblokkeerd kan worden maar niet de settings en gedrag gemonitored kunnen worden. Gevoelige zaken moet je niet aan de gebruiker open over laten.
08-07-2018, 19:54 door [Account Verwijderd]
Door karma4:
Door linux4:
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Blijft raar dat er met centraal beheer kennelijk wel de app geblokkeerd kan worden maar niet de settings en gedrag gemonitored kunnen worden. Gevoelige zaken moet je niet aan de gebruiker open over laten.

Bij Strava kan dat alleen via het profiel op de website ingesteld worden, kan niet centraal via de app geregeld worden. Polar heb ik geen ervaring mee.
08-07-2018, 21:13 door Anoniem
Door linux4:
Door karma4:
Door linux4:
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Blijft raar dat er met centraal beheer kennelijk wel de app geblokkeerd kan worden maar niet de settings en gedrag gemonitored kunnen worden. Gevoelige zaken moet je niet aan de gebruiker open over laten.

Bij Strava kan dat alleen via het profiel op de website ingesteld worden, kan niet centraal via de app geregeld worden. Polar heb ik geen ervaring mee.

Met Polar kunnen de privacy instellingen ook alleen via de website geregeld worden. Je kan alle openbare activiteit uitschakelen, zodat er niks meer zichtbaar is.

Eigenlijk dus niet anders dan bij andere diensten, zoals linkedin, feestboek, google etc etc. Standaard staan bij elke dienst alle privacy instellingen op openbaar, laat de EU daar nou eens een wet voor maken die dat voorkomt, ipv het maximum vermogen van mijn stofzuiger proberen te regelen ;)
08-07-2018, 23:22 door Anoniem
Kun je met die app dan ook zien wanneer de Russen komen? En met hoeveel?
09-07-2018, 06:35 door Anoniem
Nou zou je je ook de vraag kunnen stellen... Waarom zou je in vredesnaam zoiets installeren? Maar ik zal wel niet intelligent genoeg zijn om dat te begrijpen...
09-07-2018, 09:23 door [Account Verwijderd]
Door Anoniem: Nou zou je je ook de vraag kunnen stellen... Waarom zou je in vredesnaam zoiets installeren? Maar ik zal wel niet intelligent genoeg zijn om dat te begrijpen...

Omdat sommige sportieve mensen graag hun prestaties en conditie willen monitoren en/of competities aangaan met vrienden/vriendinnen wie de meeste km heeft hardgelopen en/of gefietst b.v.

Ik heb mijn Strava privacy instellingen echter zo staan dat alleen bekenden (volgers) kunnen zien waar ik loop en fiets. Alleen staat dat default niet zo ingesteld en daar mag wel wat aan veranderen naar mijn mening.
09-07-2018, 09:33 door Anoniem
Hier is nu specifiek polar getest omdat het en van de populairste horloges is.

Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..
09-07-2018, 09:56 door Anoniem
Mijn collega van 150 kg maar gelijk even gewaarschuwd.
09-07-2018, 10:40 door Anoniem
Door Anoniem:
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..

Ja maar je hebt toch geen inzicht in wat die opties echt doen? Dat is allemaal afhankelijk van de code in de server
waar je geen inzicht in hebt en geen invloed op hebt. Zelfs al neem je de moeite om alles te bestuderen en "goed te
zetten" dan nog kan op ieder moment een nieuwe optie worden toegevoegd waar je niet van wist en die ook weer
default op "open" staat, of er kan een bug in de software blijken te zitten waardoor gebruikers om die opties heen
kunnen, of een hacker kan wellicht de hele database downloaden en alle info beschikbaar hebben zonder te hoeven
letten op die opties.

Het lijkt me dat het toch niet anders dan als speelgoed kan worden gebruikt, en dat het gevaarlijk is om dit in te
zetten in omgevingen als defensie. Daarom snap ik wel dat men het liever helemaal verbiedt dan weer allerlei
adviezen te geven over hoe het ingesteld moet worden, die over 2 weken weer verouderd blijken te zijn.
09-07-2018, 10:42 door Anoniem
Dit privacy probleem was er al met de eerste generatie 'online' gps fietscomputers. Ik had destijds één die naast de gps locatie ook de locatie op een kaart liet zien. Op een klein schermpje nog dus nauwelijks bruikbaar.
Ik kon online van andere wielrenners niet alleen hun gereden route terug zien maar ze, via Google Streetview, ook bij hun thuis aantreffen. Met een beetje geluk was Streetview up to date en kon je zelfs de fiets voor de deur zien staan.
Handige info allemaal wat het probleem van het online willen patsen met je 'prestaties' ook direct aangeeft. Ik hou alles off-line omdat niemand het iets aangaat waar ik ben of waar ik ben geweest. Word wel steeds lastiger tegenwoordig maar het kan nog steeds.
09-07-2018, 11:09 door Anoniem
Dit dus, uit het artikel van de Correspondent:

... maar heeft zijn profiel op privé staan. We kunnen dus niet op zijn naam zoeken in Polar. Door een stomme fout van Polar lukt het ons toch al zijn activiteiten te zien. De app toont namelijk wel het unieke gebruikersnummer van de hardloper. Daar kun je vervolgens verder mee zoeken. De software registreert niet dat we naar een persoon zoeken die achter een privéprofiel schuilt en laat alsnog alle activiteiten zien.
Door Anoniem:
Door Anoniem:
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..

Ja maar je hebt toch geen inzicht in wat die opties echt doen? Dat is allemaal afhankelijk van de code in de server
waar je geen inzicht in hebt en geen invloed op hebt. Zelfs al neem je de moeite om alles te bestuderen en "goed te
zetten" dan nog kan op ieder moment een nieuwe optie worden toegevoegd waar je niet van wist en die ook weer
default op "open" staat, of er kan een bug in de software blijken te zitten waardoor gebruikers om die opties heen
kunnen, of een hacker kan wellicht de hele database downloaden en alle info beschikbaar hebben zonder te hoeven
letten op die opties.

Het lijkt me dat het toch niet anders dan als speelgoed kan worden gebruikt, en dat het gevaarlijk is om dit in te
zetten in omgevingen als defensie. Daarom snap ik wel dat men het liever helemaal verbiedt dan weer allerlei
adviezen te geven over hoe het ingesteld moet worden, die over 2 weken weer verouderd blijken te zijn.
09-07-2018, 12:11 door [Account Verwijderd] - Bijgewerkt: 09-07-2018, 12:14
Door Anoniem:
Door Anoniem:
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..

Ja maar je hebt toch geen inzicht in wat die opties echt doen? Dat is allemaal afhankelijk van de code in de server
waar je geen inzicht in hebt en geen invloed op hebt. Zelfs al neem je de moeite om alles te bestuderen en "goed te
zetten" dan nog kan op ieder moment een nieuwe optie worden toegevoegd waar je niet van wist en die ook weer
default op "open" staat, of er kan een bug in de software blijken te zitten waardoor gebruikers om die opties heen
kunnen, of een hacker kan wellicht de hele database downloaden en alle info beschikbaar hebben zonder te hoeven
letten op die opties.

Het lijkt me dat het toch niet anders dan als speelgoed kan worden gebruikt, en dat het gevaarlijk is om dit in te
zetten in omgevingen als defensie. Daarom snap ik wel dat men het liever helemaal verbiedt dan weer allerlei
adviezen te geven over hoe het ingesteld moet worden, die over 2 weken weer verouderd blijken te zijn.

Je moet er wel vanuit gaan dat als je je instellingen goed hebt staan dat er ook echt niets te vinden is van jou. Ik gebruik Strava en via Google kan ik mijzelf echt helemaal niet terugvinden als ik niet ingelogd ben. Als iemand een Strava account aanmaakt ben ik alleen vindbaar met mijn voornaam en eerste letter van mijn achternaam, b.v. Piet P. maar er is geen enkele rit zichtbaar, daartoe moet ik eerst zelf een volgverzoek goedkeuren.

Als je de code niet vertrouwt dan houd het op. Dan maar hopen dat ze bij defensie ook geen Windows 10 gebruiken, dat vertrouw ik namelijk ook niet. Beetje ver gezocht.

Een verbod tijdens werk en missies kan ik nog inkomen. Maar in zijn/haar vrije tijd, buiten militaire terreinen moet het kunnen m.i. En noem Polar/Strava etc. nou geen speelgoed want er zijn genoeg profs. die het ook gebruiken zoals wielrenners.
09-07-2018, 12:21 door [Account Verwijderd]
Door Anoniem: Dit privacy probleem was er al met de eerste generatie 'online' gps fietscomputers. Ik had destijds één die naast de gps locatie ook de locatie op een kaart liet zien. Op een klein schermpje nog dus nauwelijks bruikbaar.
Ik kon online van andere wielrenners niet alleen hun gereden route terug zien maar ze, via Google Streetview, ook bij hun thuis aantreffen. Met een beetje geluk was Streetview up to date en kon je zelfs de fiets voor de deur zien staan.
Handige info allemaal wat het probleem van het online willen patsen met je 'prestaties' ook direct aangeeft. Ik hou alles off-line omdat niemand het iets aangaat waar ik ben of waar ik ben geweest. Word wel steeds lastiger tegenwoordig maar het kan nog steeds.

Strava competitie tussen bekenden vind ik gewoon leuk, heeft niets met patsen te maken. Je kunt nog steeds alles op privé zetten, niemand die iets kan zien maar het staat wel mooi ergens op een server, inclusief hartslag etc.
Voorts kun je nog een aantal privacy zones opgeven waarin je niets kunt zien. Strava trekt dan een cirkel met gewenste straal om dit punt heen, uiteraard niet precies om het midden maar random excentrisch zodat het niet alsnog terug te vinden is.
09-07-2018, 12:45 door Leen_T
Door Anoniem: Kun je met die app dan ook zien wanneer de Russen komen? En met hoeveel?

Aangezien Bellingcrap erachter zit zou dat zomaar kunnen. Hoezo? Wil je vast bier inslaan dan?
09-07-2018, 15:19 door Anoniem
Voer een BYOD beleid in. Te simpel voor woorden.
09-07-2018, 17:29 door Eric-Jan H te D
Alleen de werktelefoon? En aangenomen dat het de taliban niet uitmaakt wie ze naar Allah (zijn naam zij geheiligd) toe sturen is een driehoeksmeting van het uitgezonden signaal ook wel voldoende.
10-07-2018, 18:56 door freediver
Door Remmilou:
Door karma4: Nu pas? Dat gedoe wat toch een half jaar geleden in het nieuws (link in redactieartikel).
Militaire kalveren verdrinken héél langzaam. Dan moet je die put ook niet te snel willen dempen...;-)
Hihi ze zijn nu pas wakker geworden haha...
10-07-2018, 19:01 door freediver
Door Anoniem: Dit privacy probleem was er al met de eerste generatie 'online' gps fietscomputers. Ik had destijds één die naast de gps locatie ook de locatie op een kaart liet zien. Op een klein schermpje nog dus nauwelijks bruikbaar.
Ik kon online van andere wielrenners niet alleen hun gereden route terug zien maar ze, via Google Streetview, ook bij hun thuis aantreffen. Met een beetje geluk was Streetview up to date en kon je zelfs de fiets voor de deur zien staan.
Handige info allemaal wat het probleem van het online willen patsen met je 'prestaties' ook direct aangeeft. Ik hou alles off-line omdat niemand het iets aangaat waar ik ben of waar ik ben geweest. Word wel steeds lastiger tegenwoordig maar het kan nog steeds.
Hoe gaat dat in zijn werk tegenwoordig, want alles loopt verplicht via de smartphone en de mobiele databundles. En dan die apps die je verplichten alle adresboeken en cameras en weet ik veel nog meer te delen.

Zocht zelf een paar jaar geleden ook een activity tracker maar ben tot de conclusie gekomen dat al die gadgets je data naar een website willen sturen, waarna je het geanaliseerd weer terugkrijgt. Er is geen enkel alternatief of je moet zelf maar wat met pen en papier gaan bijhouden.
11-07-2018, 13:03 door karma4 - Bijgewerkt: 11-07-2018, 13:03
Door freediver: Hoe gaat dat in zijn werk tegenwoordig, want alles loopt verplicht via de smartphone en de mobiele databundles. En dan die apps die je verplichten alle adresboeken en cameras en weet ik veel nog meer te delen.

Zocht zelf een paar jaar geleden ook een activity tracker maar ben tot de conclusie gekomen dat al die gadgets je data naar een website willen sturen, waarna je het geanaliseerd weer terugkrijgt. Er is geen enkel alternatief of je moet zelf maar wat met pen en papier gaan bijhouden.
Je denkt verder na.
Ik mis elke referentie naar lokale opslag lokale instellingen.
Als die er niet zijn is het een gerechtvaardigd vermoeden dat het server bed ... calling home is.
Tja een os beschermt niet tegen applicaties met dat soort ontwerpen.
Maar wat te denken over lovatiebepalimg via een gsm.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.