'Locatiegegevens gebruikers honderd Nederlandse apps verkocht op internet'
Locatiegegevens van gebruikers van ruim honderd Nederlandse apps, waaronder Buienalarm, worden op internet verkocht, zo stelt BNR op basis van onderzoek dat het samen met het Duitse Netzpolitik.org, de Franse krant Le Monde, het Amerikaanse Wired, de Noorse omroep NRK, de Zweedse krant Dagens Nyheter en de Beierse omroep BR uitvoerde.
De gegevens zijn afkomstig van een datahandelaar die eerder bekendstond als Datastream Group, maar nu onder de naam Datasys actief is. De onderzochte dataset bestaat uit 380 miljoen locatiegegevens afkomstig uit 137 landen, gekoppeld aan zo'n veertigduizend verschillende apps. De locatiegegevens bevatten ook het mobiele advertentie ID van de smartphone, wat als een uniek kenmerk fungeert en het eenvoudiger maakt om mensen te volgen.
Sommige van de apps in de dataset hebben geen nauwkeurige locatie van hun gebruikers, terwijl andere apps over de exacte locatie van gebruikers beschikken. In het geval van de eerste categorie zijn gebruikers niet op basis van hun gps gelokaliseerd maar op basis van ip-adres. Waar de data precies vandaan komt is onbekend. Volgens Netzpolitik.org is er veel dat suggereert dat de gegevens door middel van real-time bidding (RTB) zijn verzameld.
Elke keer dat iemand een website bezoekt of app gebruikt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd. Advertentiebedrijven versturen deze gegevens naar tal van bedrijven om zo adverteerders in real-time te laten bieden om advertenties aan bezoekers te tonen. Bedrijven kunnen zo gericht adverteren.
De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres. Sommige van de apps in de onderzochte dataset hebben miljoenen gebruikers, aldus de onderzoekers. Die voegen toe dat de app-ontwikkelaars zelf ook niet altijd precies weten hoe gegevens van hun gebruikers bij de datahandelaar terecht zijn gekomen.
Anouk Ruhaak, voorzitter van de Stichting Data Bescherming Nederland (SDBN), stelt tegenover BNR dat hier sprake van een grootschalige privacyschending is. "Het is heel eenvoudig om iemand hiermee te identificeren en te volgen. Ook met ip-data. Dit kan jaren later nog schadelijke gevolgen hebben." Datasys wilde niet op vragen van de onderzoekers reageren, maar stelt online dat gebruikers toestemming hebben gegeven voor het delen van gegevens. Onlangs bleek dat een aanvaller heeft ingebroken bij een datahandelaar genaamd Gravy Analytics. Daarbij zijn de locatiegegevens van mogelijk miljoenen mensen buitgemaakt.
En ja, mensen hebben er zelf voor getekend, dus klagen bij de rechter heeft geen zin.
Dit geldt overigens voor de meeste proprietaire apps, de meeste van die apps hebben trackers en andere volgsystemen ingebouwd.
En ja, mensen hebben er zelf voor getekend, dus klagen bij de rechter heeft geen zin.
Dit geldt overigens voor de meeste proprietaire apps, de meeste van die apps hebben trackers en andere volgsystemen ingebouwd.
Voor het verzamelen van de gegevens hheeft de verzamelaar een geldige reden nodig (art. 6 AVG). Voor het selecteren van alle locatiegegevens van 1 gebruiker om hem te kunnen volgen, heb je ook een geldige reden nodig.
Als je werkelijk aantoonbare schade hebt geleden, kan je die proberen te verhalen op het bedrijf achter Buienradar, desnoods via de rechter.
("Mevrouw de rechter, ik schrok zo toen ik het bericht las op security.nl, ik MOEST gewoon een Caramel Frappucino laten thuisbezorgen. Ik wil de kosten graag vergoed hebben.")
Verder kan de AP een boete opleggen aan het bedrijf, maar ook aan jou, ook als je informatie uit die data openbaar maakt...
Want openbaar maken is ook een verwerking. En daar heb je dus een geldige reden voor nodig.
Candy Crush, Tinder, MyFitnessPal: See the Thousands of Apps Hijacked to Spy on Your Location
A hack of location data company Gravy Analytics has revealed which apps are—knowingly or not—being abused
by Joseph Cox - January 9, 2025
https://www.wired.com/story/gravy-location-data-app-leak-rtb/
Netwerkverkeer log ook aanzetten, dan je appjes gebruiken en jezelf (ondanks dat je het wel denkt te weten) heel erg verbazen...
Voorbeeldje: 1 uur ZiggoGo kijken = 1500 uitgaande verbindingen waaronder naar de Rabobank (??) en de SNS bank (??)
Dat hangt van af of je de Locatie (GPS) functie aan of uit hebt staat, en of je WiFi- en Bluetooth-scannen in de instellingen van Android of iOS aan of uit hebt staan. De exacte locatie -- bijvoorbeeld in een gebouw -- wordt mede bepaald aan de hand van de door Google Street View auto's geregistreerde MAC-nummers van draadloze netwerken.
• ACCESS_BACKGROUND_LOCATION
access location in the background
• ACCESS_COARSE_LOCATION
access approximate location only in the foreground
• ACCESS_FINE_LOCATION
access precise location only in the foreground
https://www.bnr.nl/nieuws/technologie/10537256/nederlandse-telefoons-online-stiekem-te-volgen-extreem-veiligheidsrisico
Ruim 300 kilometer naar het zuiden, in de Hessische stad Bensheim, kon iemand op zijn Huawei-telefoon worden gelokaliseerd met "Hornet", een app voor queer seksdates. Hij staat midden op het terrein van een bedrijf dat elektronische systemen produceert voor onder meer oorlogsschepen en straaljagers.
https://netzpolitik.org/2025/databroker-files-neuer-datensatz-enthuellt-40-000-apps-hinter-standort-tracking/
https://www.volkskrant.nl/tech/de-locatiegegevens-van-gebruikers-van-tientallen-apps-zoals-tinder-en-buienalarm-staan-online-te-koop~b7720f05/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?