Defensie blokkeert sport-apps op werktelefoons na datalek
Het ministerie van Defensie heeft het gebruik van bepaalde sport- en fitnessapps op de werktelefoons van militairen voorlopig onmogelijk gemaakt en adviseert het personeel om locatiegegevens op werktelefoons standaard uit te zetten en alleen tijdelijk aan te zetten als dit noodzakelijk is.
Dat heeft minister Bijleveld van Defensie vandaag in een brief aan de Tweede Kamer laten weten. Aanleiding voor de maatregel is dat via de sport- en fitnessapp Polar en de smartwatch van Polar persoonlijke informatie van militairen, burgermedewerkers en medewerkers van inlichtingendiensten in binnen- en buitenland is achterhaald. Begin dit jaar werd al bekend dat het mogelijk was om via de fitness-app Strava de locatie van militaire basissen te achterhalen en wees Defensie militairen op het gevaar van Strava en soortgelijke apps.
Nu blijkt dat het ook mogelijk is om via Polar allerlei informatie over gebruikers van de Polar-smartwatch te vinden, zo laat de Correspondent weten. Samen met onderzoeksgroep Bellingcat werden op meer dan tweehonderd locaties bijna 6500 individuen met 69 verschillende nationaliteiten gevonden. Het ging onder andere om medewerkers van de MIVD. Polar maakt het mogelijk om onbeperkt informatie op te vragen, waardoor de gegevens van de bijna 6500 gebruikers geautomatiseerd konden worden opgevraagd. Dit maakte het eenvoudiger voor de onderzoekers om bijvoorbeeld woonadressen te achterhalen.
Maatregelen
Defensie werd voor de publicatie geïnformeerd, waardoor er aanvullende maatregelen konden worden genomen. "Het personeel is opnieuw geattendeerd op de specifieke kwetsbaarheden van het gebruik van dergelijke apps, zowel in de eigen leefomgeving als in of nabij de werkomgeving. Het gebruik van bepaalde sport- en fitnessapps op Defensie telefoons wordt vooralsnog onmogelijk gemaakt. Verder wordt dringend geadviseerd om locatiegegevens op Defensie telefoons standaard uit te zetten en alleen tijdelijk aan te zetten als dit noodzakelijk is", aldus Bijleveld.
De minister stelt dat Defensie voortdurend aandacht besteedt aan het verhogen van het beveiligingsbewustzijn, ook als het gaat om het zorgvuldig omgaan met persoonsgegevens. "Defensiemedewerkers worden regelmatig gewezen op de risico’s van het delen van persoonsgegevens waarbij een relatie met Defensie kan worden gelegd", schrijft Bijleveld in de brief. De minister laat verder weten dat het creëren en vasthouden van bewustzijn een proces is dat continu de aandacht vraagt en Defensie om die reden recent gestart is met een bewustwordingscampagne om medewerkers stelselmatig te wijzen op de mogelijke risico's van het gebruik van sociale media.
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Bij Strava kan dat alleen via het profiel op de website ingesteld worden, kan niet centraal via de app geregeld worden. Polar heb ik geen ervaring mee.
Dat was met Strava, een soortgelijk systeem. In Strava kun je overigens je instellingen zo zetten dat je niet te traceren bent.
Bij Strava kan dat alleen via het profiel op de website ingesteld worden, kan niet centraal via de app geregeld worden. Polar heb ik geen ervaring mee.
Met Polar kunnen de privacy instellingen ook alleen via de website geregeld worden. Je kan alle openbare activiteit uitschakelen, zodat er niks meer zichtbaar is.
Eigenlijk dus niet anders dan bij andere diensten, zoals linkedin, feestboek, google etc etc. Standaard staan bij elke dienst alle privacy instellingen op openbaar, laat de EU daar nou eens een wet voor maken die dat voorkomt, ipv het maximum vermogen van mijn stofzuiger proberen te regelen ;)
Omdat sommige sportieve mensen graag hun prestaties en conditie willen monitoren en/of competities aangaan met vrienden/vriendinnen wie de meeste km heeft hardgelopen en/of gefietst b.v.
Ik heb mijn Strava privacy instellingen echter zo staan dat alleen bekenden (volgers) kunnen zien waar ik loop en fiets. Alleen staat dat default niet zo ingesteld en daar mag wel wat aan veranderen naar mijn mening.
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..
Ja maar je hebt toch geen inzicht in wat die opties echt doen? Dat is allemaal afhankelijk van de code in de server
waar je geen inzicht in hebt en geen invloed op hebt. Zelfs al neem je de moeite om alles te bestuderen en "goed te
zetten" dan nog kan op ieder moment een nieuwe optie worden toegevoegd waar je niet van wist en die ook weer
default op "open" staat, of er kan een bug in de software blijken te zitten waardoor gebruikers om die opties heen
kunnen, of een hacker kan wellicht de hele database downloaden en alle info beschikbaar hebben zonder te hoeven
letten op die opties.
Het lijkt me dat het toch niet anders dan als speelgoed kan worden gebruikt, en dat het gevaarlijk is om dit in te
zetten in omgevingen als defensie. Daarom snap ik wel dat men het liever helemaal verbiedt dan weer allerlei
adviezen te geven over hoe het ingesteld moet worden, die over 2 weken weer verouderd blijken te zijn.
Ik kon online van andere wielrenners niet alleen hun gereden route terug zien maar ze, via Google Streetview, ook bij hun thuis aantreffen. Met een beetje geluk was Streetview up to date en kon je zelfs de fiets voor de deur zien staan.
Handige info allemaal wat het probleem van het online willen patsen met je 'prestaties' ook direct aangeeft. Ik hou alles off-line omdat niemand het iets aangaat waar ik ben of waar ik ben geweest. Word wel steeds lastiger tegenwoordig maar het kan nog steeds.
... maar heeft zijn profiel op privé staan. We kunnen dus niet op zijn naam zoeken in Polar. Door een stomme fout van Polar lukt het ons toch al zijn activiteiten te zien. De app toont namelijk wel het unieke gebruikersnummer van de hardloper. Daar kun je vervolgens verder mee zoeken. De software registreert niet dat we naar een persoon zoeken die achter een privéprofiel schuilt en laat alsnog alle activiteiten zien.
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..
Ja maar je hebt toch geen inzicht in wat die opties echt doen? Dat is allemaal afhankelijk van de code in de server
waar je geen inzicht in hebt en geen invloed op hebt. Zelfs al neem je de moeite om alles te bestuderen en "goed te
zetten" dan nog kan op ieder moment een nieuwe optie worden toegevoegd waar je niet van wist en die ook weer
default op "open" staat, of er kan een bug in de software blijken te zitten waardoor gebruikers om die opties heen
kunnen, of een hacker kan wellicht de hele database downloaden en alle info beschikbaar hebben zonder te hoeven
letten op die opties.
Het lijkt me dat het toch niet anders dan als speelgoed kan worden gebruikt, en dat het gevaarlijk is om dit in te
zetten in omgevingen als defensie. Daarom snap ik wel dat men het liever helemaal verbiedt dan weer allerlei
adviezen te geven over hoe het ingesteld moet worden, die over 2 weken weer verouderd blijken te zijn.
Neemt niet weg dat alle apps standaard de workouts op Private moet zetten naar mijn mening.
Zelf heb ik al mijn workouts in polar (ja ik heb een polar horloge) op private gezet en ik exporteer niet naar andere apps..
Ja maar je hebt toch geen inzicht in wat die opties echt doen? Dat is allemaal afhankelijk van de code in de server
waar je geen inzicht in hebt en geen invloed op hebt. Zelfs al neem je de moeite om alles te bestuderen en "goed te
zetten" dan nog kan op ieder moment een nieuwe optie worden toegevoegd waar je niet van wist en die ook weer
default op "open" staat, of er kan een bug in de software blijken te zitten waardoor gebruikers om die opties heen
kunnen, of een hacker kan wellicht de hele database downloaden en alle info beschikbaar hebben zonder te hoeven
letten op die opties.
Het lijkt me dat het toch niet anders dan als speelgoed kan worden gebruikt, en dat het gevaarlijk is om dit in te
zetten in omgevingen als defensie. Daarom snap ik wel dat men het liever helemaal verbiedt dan weer allerlei
adviezen te geven over hoe het ingesteld moet worden, die over 2 weken weer verouderd blijken te zijn.
Je moet er wel vanuit gaan dat als je je instellingen goed hebt staan dat er ook echt niets te vinden is van jou. Ik gebruik Strava en via Google kan ik mijzelf echt helemaal niet terugvinden als ik niet ingelogd ben. Als iemand een Strava account aanmaakt ben ik alleen vindbaar met mijn voornaam en eerste letter van mijn achternaam, b.v. Piet P. maar er is geen enkele rit zichtbaar, daartoe moet ik eerst zelf een volgverzoek goedkeuren.
Als je de code niet vertrouwt dan houd het op. Dan maar hopen dat ze bij defensie ook geen Windows 10 gebruiken, dat vertrouw ik namelijk ook niet. Beetje ver gezocht.
Een verbod tijdens werk en missies kan ik nog inkomen. Maar in zijn/haar vrije tijd, buiten militaire terreinen moet het kunnen m.i. En noem Polar/Strava etc. nou geen speelgoed want er zijn genoeg profs. die het ook gebruiken zoals wielrenners.
Ik kon online van andere wielrenners niet alleen hun gereden route terug zien maar ze, via Google Streetview, ook bij hun thuis aantreffen. Met een beetje geluk was Streetview up to date en kon je zelfs de fiets voor de deur zien staan.
Handige info allemaal wat het probleem van het online willen patsen met je 'prestaties' ook direct aangeeft. Ik hou alles off-line omdat niemand het iets aangaat waar ik ben of waar ik ben geweest. Word wel steeds lastiger tegenwoordig maar het kan nog steeds.
Strava competitie tussen bekenden vind ik gewoon leuk, heeft niets met patsen te maken. Je kunt nog steeds alles op privé zetten, niemand die iets kan zien maar het staat wel mooi ergens op een server, inclusief hartslag etc.
Voorts kun je nog een aantal privacy zones opgeven waarin je niets kunt zien. Strava trekt dan een cirkel met gewenste straal om dit punt heen, uiteraard niet precies om het midden maar random excentrisch zodat het niet alsnog terug te vinden is.
Aangezien Bellingcrap erachter zit zou dat zomaar kunnen. Hoezo? Wil je vast bier inslaan dan?
Ik kon online van andere wielrenners niet alleen hun gereden route terug zien maar ze, via Google Streetview, ook bij hun thuis aantreffen. Met een beetje geluk was Streetview up to date en kon je zelfs de fiets voor de deur zien staan.
Handige info allemaal wat het probleem van het online willen patsen met je 'prestaties' ook direct aangeeft. Ik hou alles off-line omdat niemand het iets aangaat waar ik ben of waar ik ben geweest. Word wel steeds lastiger tegenwoordig maar het kan nog steeds.
Zocht zelf een paar jaar geleden ook een activity tracker maar ben tot de conclusie gekomen dat al die gadgets je data naar een website willen sturen, waarna je het geanaliseerd weer terugkrijgt. Er is geen enkel alternatief of je moet zelf maar wat met pen en papier gaan bijhouden.
Zocht zelf een paar jaar geleden ook een activity tracker maar ben tot de conclusie gekomen dat al die gadgets je data naar een website willen sturen, waarna je het geanaliseerd weer terugkrijgt. Er is geen enkel alternatief of je moet zelf maar wat met pen en papier gaan bijhouden.
Ik mis elke referentie naar lokale opslag lokale instellingen.
Als die er niet zijn is het een gerechtvaardigd vermoeden dat het server bed ... calling home is.
Tja een os beschermt niet tegen applicaties met dat soort ontwerpen.
Maar wat te denken over lovatiebepalimg via een gsm.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
