Hardloop-app Strava openbaart per ongeluk westerse geheime militaire locaties in conflictgebieden

Een onschuldige joggersapp zet voor iedereen zichtbare, potentieel uiterst gevoelige informatie op het internet over westerse militaire bases in landen als Irak, Syrië en Afghanistan. Een 20-jarige student uit Australië heeft dat ontdekt.

De heatmap van Strava. Foto Strava

Zijn melding daarover afgelopen weekeinde op Twitter heeft er al toe geleid dat de Amerikaanse leiding van de internationale coalitie tegen Islamitische Staat in Irak en Syrië de regels voor het gebruik van apps en sociale media door haar militairen heeft aangescherpt.

Gebruikers van de app Strava registreren via de satelliet waar, wanneer en hoe snel zij hardlopen (of fietsen). De gegevens van de wereldwijd 27 miljoen gebruikers worden centraal opgeslagen en kunnen door deelnemers onderling worden uitgewisseld, bijvoorbeeld voor competitieve doeleinden. 'The Social Network for Athletes', is het motto van het in Californië gevestigde internetbedrijf.

Levenspatroon

In november publiceerde Strava de Global Heat Map, waarop alle activiteiten van lopers en fietsers sinds de komst van de app twee jaar geleden in beeld zijn gebracht. Oplichtende strepen en stippen op een plattegrond geven aan waar wat gebeurt. In Europa en de VS leidt dat tot een wirwar aan lichtstrepen, maar in conflictgebieden in het Midden-Oosten en Afrika zijn westerse militairen (en hulpverleners) de enige gebruikers in de wijde omtrek.

Daardoor wordt in de duisternis niet alleen de locatie van een militaire basis zichtbaar, maar ook het levenspatroon van de bewoners, zegt Christiaan Triebert van onderzoeksgroep Bellingcat. 'Waar mensen naar binnen gaan, waar ze verblijven op de compound, waar en wanneer de patrouilles worden gelopen. Allemaal heel gevoelig.' Veel gebruikers laten de app aanstaan als zij andere dingen doen dan hardlopen.

Ruim twee maanden bleef de hittekaart van Strava onopgemerkt, tot de Australische student Nathan Ruser er dit weekend via Twitter de aandacht op vestigde. 'Het ontplofte meteen', zegt Triebert. Overal gingen mensen de kaart afstruinen op zoek naar interessante gegevens.

Geheime bases

De grote Amerikaanse bases zijn uiteraard genoegzaam bekend, maar op sommige plaatsen werden vrijwel geheime buitenposten ontdekt. Ook kennis van verbindingsroutes kan door kwaadwillenden worden misbruikt. De vrees bestaat dat met de data van Strava aanslagen gepleegd kunnen worden.

Adam Rawnsley, journalist van The Daily Beast, ontdekte dat er vaak wordt gejogd op het strand bij een vermoedelijke CIA-basis in Mogadishu, Somalië. Een andere Twitteraar zegt volgens The Washington Post een Patriot-raketsysteem te hebben gesignaleerd in Jemen.

'Wij nemen de zaak uiterst serieus en bekijken wat we moeten doen om de veiligheid van ons personeel te garanderen', zei een woordvoerder van het Pentagon tegen persbureau AP. Het ministerie moedigt zelf al jaren het gebruik van de rennerspolsband Fitbits (ook door de Strava-satelliet geregistreerd) aan onder zijn personeel, ter bestrijding van overgewicht.

Veel joggers gebruiken de app van Strava. Foto anp
Camp Lemonnier (rechts) en een vermoedelijke CIA-basis (linksonder) in Djibouti. Foto Strava

Topje van de ijsberg

Extra riskant is volgens Triebert dat op sommige segmenten van de Strava-site ook gegevens van individuele gebruikers te vinden zijn, bijvoorbeeld waar renners hun prestaties vergelijken in een ranglijst. Zo zouden ook namen zichtbaar zijn van Nederlandse militairen die deelnemen aan de VN-missie in Mali, met gegevens over hun persoonlijk leven in Nederland en al.

Strava is nog maar 'het topje van de ijsberg', zegt Triebert. Google Maps en andere apps die locaties registreren, hebben veel meer gebruikers dan Strava. 'Het toont aan over hoeveel informatie zulke bedrijven beschikken.'

Overigens is er een simpele remedie tegen het misbruik van de hittekaart. Gebruikers kunnen de 'delen'-functie eenvoudig uitzettend. Probleem: van een 'sociaal netwerk voor atleten' is dan niet langer sprake.

Meer over

Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.