De fitness-app van het Finse bedrijf Polar wordt over de hele wereld door tienduizenden mensen gebruikt. Handig om tijdens het hardlopen de afgelegde afstanden, snelheid en verbruikte calorieën in de gaten te houden. Maar de bijbehorende website van het bedrijf, waarop gebruikers kunnen zien hoe en waar ze gesport hebben, blijkt voor iedereen toegankelijk te zijn.

Dat ontdekte De Correspondent in samenwerking met de onderzoeksgroep Bellingcat. Bijna alle gebruikers hebben een naam en woonplaats ingevuld op de profielpagina en hun activiteiten zijn op de daaraan gekoppelde landenkaart van Polar Flow te zien. Door die gegevens te combineren is het adres van een gebruiker te achterhalen. Veel sporters beginnen hun activiteit immers bij hun huis.

Zo wist De Correspondent namen en adressen te achterhalen van bijvoorbeeld militairen, medewerkers van geheime diensten en personeel van nucleaire locaties over de hele wereld. Polar heeft dit weekend, nadat het twee weken geleden door De Correspondent werd ingelicht, de landenkaart waarop de activiteiten van alle gebruikers te vinden zijn, offline gehaald.

Zo was bijvoorbeeld eenvoudig te zien dat een Nederlandse militair, die deel uitmaakt van de Nederlandse missie in Irak, op 9 mei dit jaar langs de landingsbaan van het vliegveld van Erbil in Noord-Irak liep. Via de landenkaart van Polar was te zien dat veel van zijn hardloopactiviteiten bij een dorp in Nederland begonnen. Vervolgens kon op de kaart naar het huisadres gekeken worden, zoals bij Google streetview. Met een beetje googelen werd het huisadres vervolgens bevestigd en werden ook familiefoto’s gevonden.

Op dezelfde manier werden ook de namen en adressen van medewerkers van de Amerikaanse inlichtingendienst NSA, de Nederlandse MIVD en de Russische inlichtingendienst GRU gevonden. In totaal vond De Correspondent op 208 locaties 6.460 individuen met 69 verschillende nationaliteiten.

Gevoelige locaties

Polar heeft inmiddels via een persbericht laten weten dat de landenkaart tijdelijk offline is gehaald omdat die ‘mogelijk gevoelige locaties’ prijsgaf. Maar het bedrijf zegt dat er geen sprake is van een datalek en dat er geen ‘persoonlijke gegevens’ gelekt zijn. Daarnaast benadrukt Polar dat het de keuze van de gebruikers is om gegevens over de sportactiviteiten te delen. Het bedrijf zoekt nu naar een manier om te voorkomen dat er via de landenkaart gevoelige data naar buiten komen. Tot die tijd is de functie offline.

Het ministerie van Defensie heeft het naar aanleiding van het verhaal van De Correspondent technisch onmogelijk gemaakt om dergelijke sport-apps op werktelefoons te gebruiken. Daarnaast is het personeel nogmaals gewezen op de risico's bij het gebruiken van dit soort apps.

Strava

Het is niet de eerste keer dat door een sport-app uiterst gevoelige informatie op straat blijkt te liggen. Begin dit jaar bleek de sport-app van Strava onbedoeld militaire bases bloot te leggen, die geheim moesten blijven. Op de wereldkaart van Strava waren alle hardloop- en fietsrondjes keurig te zien. Op de kaart waren ineens midden in een woestijn sportactiviteiten zichtbaar. Na onderzoek bleken op die locaties militaire bases te liggen. Dit probleem werd ontdekt door een 20-jarige student uit Australië. Het was makkelijk te verhelpen door de functie ‘delen’ uit te zetten.

Hierna werd door deskundigen al gezegd dat dit het ‘topje van de ijsberg’ was, omdat er veel meer apps zijn die gevoelige locaties en andere gegevens van gebruikers registeren. Dat blijkt ook uit het onderzoek naar Polar. Er werd ook gekeken naar populaire hardloop-apps als Runkeeper en Endomondo, en ook hier zijn met enige inspanning gebruikers te identificeren en is hun woonadres te achterhalen.

Internetexpert Henk van Ess: ‘Deel via sociale media alleen wat ook je buren mogen weten’ Henk van Ess, expert op het gebied van zoeken op internet en sociale media, gaf recent een cursus aan Amerikaanse journalisten. Een van de deelnemers was de journalist Tom Winter, onderzoeksjournalist bij NBC News, iemand die goed nadenkt over privacy en welke sporen hij op internet achterlaat. Toch wist Van Ess van hem in een handomdraai allerlei gegevens te achterhalen.