"Binnenkort kan iedereen je locatie achterhalen": ethische hacker waarschuwt voor privacylek in parkeerapps als 4411

Parkeren op een plek met slimme camera’s kost ons niet alleen geld, maar ook een deel van onze privacy. Dat ontdekte ethische hacker Inti De Ceukelaire. Parkeerbedrijven als Indigo maken vaak gebruik van parkeerapps, maar gebruikers kunnen daar een nummerplaat van eender wie invoeren en zo iemand lokaliseren. Ook met gratis parkeren via 4411 zijn er problemen. Mensen met slechte bedoelingen kunnen daar misbruik van maken.

Handig, slagbomen met slimme camera’s die automatisch opengaan als je een parkeerterrein verlaat. “Maar het blijkt een ramp voor onze privacy”, zegt Inti De Ceukelaire, een ethische hacker. Dat is iemand die met goede bedoelingen lekken probeert te vinden in beveiligingssystemen.

De Ceukelaire deed 100 dagen lang een experiment waarbij hij probeerde om 120 auto’s te traceren. Met toestemming van de eigenaars weliswaar en dat bleek niet al te moeilijk. 29 procent van de wagens, iets meer dan 1 op de 4 dus, bleek makkelijk te vinden aan de hand van … de parkeerplek.

Hij wist waar ik zat en had betaald voor me
Linde Merckpoel nam deel aan het experiment

VRT-gezicht Linde Merckpoel deed vrijwillig mee aan de test en was verbaasd toen De Ceukelaire haar plots "betrapte" tijdens een vriendinnenweekend.

“Ik parkeerde een tijdje ondergronds in Brussel, want ik was er op weekend. De slagboom ging eerst automatisch open en ik kreeg geen ticket. Vervelend, want ik maakte me zorgen dat ik niet meer kon uitrijden. Die zorgen bleken niet nodig, want de slagbomen gingen ook automatisch open bij het verlaten van de parking en ik had nog niet eens betaald. Bleek dus dat Inti wist waar ik zat en meteen ook even voor me had betaald. Handig én creepy tegelijkertijd”.

Slimme camera's in garages

De Ceukelaire vond twee manieren om mensen en hun voertuig op te sporen. Een eerste test was met de parkeerapp van Indigo, bekend van de ondergrondse parkeergarages. De Ceukelaire maakt een professioneel account aan in de app en voerde alle 120 nummerplaten in, ook die van Linde Merckpoel. Als een van de wagens een parkeergarage of -terrein binnenreed, wist De Ceukelaire dat meteen. Want de app is verbonden met de camera met nummerplaatherkenning die aan de inrit hangt. Zo ging het ook bij Linde.

"Er wordt niet gecontroleerd of de ingegeven nummerplaat ook aan de gebruiker van de app toebehoort. Daardoor is het mogelijk om parkeersessies van een voertuig dat zo een garage of parkeerterrein gebruikt, te onderscheppen. Of de bestuurders zelf parkeerapps gebruiken, speelt geen rol."

“Het enige obstakel is dat degene die de parkeersessie onderschept er ook effectief voor moet betalen, maar met een gemiddelde van 8,25 euro per succesvol getraceerd voertuig is dat tientallen keren goedkoper dan pakweg een privédetective”, zegt De Ceukelaire.

BEKIJK - Hoe ethische hacker Inti De Ceukelaire de locatie van Linde Merckpoel kan opsporen dankzij parkeerapps:

Videospeler inladen...

4411

Maar daar bleef het niet bij. Wie dacht anoniemer te zijn door parkeergarages met camera’s te vermijden en op straat te parkeren, was er ook aan voor de moeite. De Ceukelaire ontwikkelde ook een computerprogramma om op te sporen of de wagens die hij volgde, gebruikmaakten van gratis parkeersessies. In sommige steden kan je bijvoorbeeld 15 minuten gratis parkeren. Zo kon hij de wagens die hij zocht ook vinden.

BEKIJK - Zo gaat ethische hacker Inti De Ceukelaire te werk bij een gratis parkeersessie:

“Mijn computerprogramma "praatte" aan het einde van elke dag met duizenden digitale parkeermeters met de vraag of er nog gratis parkeertijd beschikbaar was voor de op te sporen wagens. Als mijn systeem er niet in slaagde om een gratis parkeersessie van één seconde aan te maken voor die nummerplaat in een van de gratis zones, dan wist ik met zekerheid dat het voertuig diezelfde dag in die zone heeft geparkeerd”. Momenteel werkt die "truc" enkel op locaties waar 4411 gratis parkeertijd aanbiedt, zoals in Aalst, Antwerpen, Beveren, Charleroi, De Panne, Gent, Hasselt, Doornik, Turnhout.

Veiligheid

Volgens De Ceukelaire is het een koud kunstje voor mensen met slechte bedoelingen, die wat van technologie kennen, om te weten te komen waar je bent. “Ben je van huis weg, dan kunnen ze inbreken. Word je gespot met een wagen vol spullen of valiezen, dan kunnen overvallers je komen opzoeken als je ergens parkeert.”

“Het is bovendien niet moeilijk om aan iemands nummerplaat te komen. Veel mensen tonen met plezier hun dure wagens op sociale media en maken vaak hun nummerplaat niet onherkenbaar. Maar ook voor wie wat rondkijkt op straat, is het niet moeilijk om mensen te koppelen aan hun voertuig."

“Onlangs was ik in een andere, donkere parkeergarage. En ik voelde me niet zo veilig. Meteen moest ik weer aan het experiment met mijn nummerplaat denken. Als vrouw wil je echt niet dat het zo gemakkelijk is om iemand te traceren.”

Waar je parkeert, zegt wat je aan het doen bent

“Parkeersessies geven een onschatbare bron van informatie prijs over bestuurders: aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen. Hoe meer momentopnames het systeem kan onderscheppen, hoe groter de kans om te achterhalen wie de bestuurder is”, vult De Ceukelaire aan.

Wat nummerplaatherkenning in parkeergarages interessant maakt voor mensen met slechte bedoelingen, is dat een auto meestal een poosje op dezelfde locatie blijft. Dat geeft hen de tijd om zich naar het voertuig te begeven en eventueel de bestuurder op te wachten. Een dure auto of een auto vol met spullen is dan eventueel makkelijk op te sporen. Maar ook mensen die moeten onderduiken voor familiaal of zelfs oorlogsgeweld, lopen daardoor risico.

Belga Images

Europees probleem, België koploper

Andere West-Europese landen kampen met hetzelfde privacyprobleem, al telt België met de hoogste dichtheid: 2,55 slimme parkeerplekken per km2, goed voor 78.000 plaatsen in totaal. “Zweden en Frankrijk zijn met 220.000 slimme parkeerplekken recordhouders in Europa, maar de oppervlakte van die landen is veel groter waardoor de "track-kans" kleiner is dan in België”, klinkt het.

De Ceukelaire pleit voor een aanpak op Europees niveau. “Tijdens het onderzoek wisten we een Belgische nummerplaat op meer dan 1.000 km te lokaliseren, tegen de Spaanse grens. De meeste parkeerbedrijven zijn actief in verschillende landen en moeten dus op Europees niveau worden aangemoedigd om hun privacy-maatregelen op te krikken. Het probleem zal alleen maar groter worden in de toekomst, omdat duurzame mobiliteitsplannen steeds meer auto’s omleiden naar parkeergelegenheden buiten het straatbeeld. Bovendien wordt dezelfde technologie in Engeland en Ierland ook al toegepast op tolwegen, dus zelfs wie altijd privé parkeert, kan gelokaliseerd worden.”

Zo voorkom je dat jij slachtoffer wordt: In samenwerking met privacy-juristen ontwikkelde De Ceukelaire de website notmyplate.com, waarbij gebruikers een GDPR-verzoek kunnen indienen bij de parkeerbedrijven om hun nummerplaat niet langer te verwerken. “De effectiviteit daarvan valt af te wachten, maar het geeft in elk geval een duidelijk signaal dat er snel een structurele oplossing moet komen. In eerste instantie kunnen uitbaters van parkeergarages er bijvoorbeeld voor zorgen dat je niet zomaar een nummerplaat opnieuw kan registreren als die al ergens in het systeem staat. Bij onze testen van 12 parkeerapplicaties bleek enkel die van Interparking dit te voorkomen.”

Meest gelezen