Locatiedata spelen een belangrijke rol in heel wat apps en online diensten. Ze kunnen meer prijsgeven dan je wilt, ook als de data geanonimiseerd zijn. Denk dus goed na voor je akkoord gaat met de vraag of een app je locatie mag weten.
De 42-jarige Russische militair Stanislav Rzjitski ging op een ochtend zoals gewoonlijk joggen in de stad Krasnodar. Er werden zeven schoten op hem afgevuurd en hij stierf ter plekke. De man stond op de zwarte lijst van Oekraïne voor oorlogsmisdaden. Zo was hij als commandant verantwoordelijk voor een raketaanval in 2022 waarbij 23 Oekraïense burgerslachtoffers vielen, waaronder drie kinderen.
Er zijn geen bewijzen dat Oekraïne achter de moord op de ex-commandant zat. Maar de Oekraïense militaire inlichtingendienst beschreef in een post op Telegram de omstandigheden in wel heel specifieke details die alleen iemand die er bij was kon weten. Volgens Russische Telegram-kanalen deelde Rzjitski nonchalant zijn hardlooproutes in de sportapp Strava. Die informatie zou de moordenaar wel eens gebruikt kunnen hebben om toe te slaan. Overigens kreeg de laatste hardlooproute op Rzjitski’s Strava-profiel een like van Kyrylo Budanov, hoofd van de Oekraïense militaire inlichtingendienst…
Geheime basissen
Militairen zouden beter moeten weten, want in 2018 al kwam de Australische student Nathan Ruser in het nieuws met zijn ontdekking dat Strava’s wereldwijde heatmap de locaties van militaire basissen prijsgeeft. Die heatmap toont een wereldkaart met daarop de locatie van de activiteiten van alle deelnemende gebruikers van Strava van het afgelopen jaar. Het gaat dus niet om individuele gebruikers, maar je ziet er de ‘actieve’ gebieden oplichten. Ruser zag nu op de kaart in Syrië in heel afgelegen gebieden duidelijke routes oplichten, wat op geheime basissen wees waar soldaten gingen trainen. Dit probleem is toen ‘opgelost’ doordat militairen wereldwijd het verbod kregen om fitnessapps op militaire basissen te gebruiken.
Nathan Ruser ontdekte op Strava’s heatmap hardlooproutes rond geheime militaire basissen
Dat Rzjitski zijn locatiedata deelde, werd zijn dood. Jij en ik liggen waarschijnlijk niet wakker van zulke risico’s, omdat we niet op een zwarte lijst staan of aan geheime operaties deelnemen. Maar er kleven nog heel wat andere risico’s aan het delen van je locatiedata. Zo is het voor stalkers heel interessant om je vaste hardlooproute te kennen, of te weten waar je woont. Bovendien kunnen bedrijven je locatiedata zonder je medeweten verzamelen en gebruiken om gerichtere advertenties te tonen.
Op zijn heatmap toont Strava de gebieden waar gebruikers het actiefst zijn
Geanonimiseerde hardlooproutes
Nu heeft Strava vanaf het begin al maatregelen genomen om de privacy van gebruikers te beschermen. Zo is het vaak niet zo moeilijk om uit een gedeelde hardlooproute het thuisadres van een gebruiker af te leiden. Als de locatiedata nauwkeurig genoeg zijn, zie je duidelijk een pad van het huis naar de straat en vervolgens de hele route. Strava heeft dit probleem jaren geleden al aangepakt door de eerste en laatste paar honderd meter van de routes die je deelt te verbergen. Maar in 2022 slaagden computerwetenschappers van de Katholieke Universiteit Leuven erin om uit het verschil tussen de gerapporteerde afstand van de route en de gemeten route op de gedeelde kaart in 85% van de gevallen toch het thuisadres te bepalen. Ze publiceerden hun onderzoek in het artikel A Run a Day Won’t Keep the Hacker Away: Inference Attacks on Endpoint Privacy Zones in Fitness Tracking Social Networks (https://dl.acm.org/doi/pdf/10.1145/3548606.3560616).
Een zone rond het thuisadres van de gebruiker wordt verborgen
Strava beschouwt de routes in de heatmap als geanonimiseerd en past daar dan niet dezelfde maatregelen toe als voor gedeelde activiteiten, zoals die verborgen zones. In gebieden met veel actieve Strava-gebruikers is de heatmap natuurlijk moeilijk aan individuele gebruikers toe te kennen. Maar als er ergens maar een paar actieve gebruikers zijn, is het pad van één individu, inclusief het begin- en eindpunt (en dus waarschijnlijk het thuisadres) duidelijk zichtbaar. In 2023 ontdekte een team Amerikaanse computerwetenschappers dat je in veel gevallen uit Strava’s heatmap individuele gebruikers kunt identificeren. Hun onderzoek werd gepubliceerd in het artikel Heat Marks the Spot: De-Anonymizing Users’ Geographical Data on the Strava Heatmap (https://anupamdas.org/paper/CONPRO2023.pdf).
De onderzoekers begonnen met enkele individuele gevallen te analyseren in de heatmap. Zo vonden ze op de kaart in New Jersey duidelijk een huis dat aansloot op een route met veel activiteit. Toen ze de naam van de stad in de zoekfunctie van Strava intypten, kregen ze maar één gebruiker als resultaat met voldoende activiteit om die heatmap te verklaren. Op het publieke profiel van die gebruiker konden ze de recente activiteiten vinden, inclusief tijden en afstanden, waarmee ze de routes op de heatmap eraan konden koppelen en zo bevestigen dat het thuisadres correct was.
Na nog enkele positieve resultaten besloten ze om deze aanpak te automatiseren. Gemiddeld slaagden ze erin om op deze manier van 37,5 procent van de gebruikers het thuisadres tot op een afstand van 100 m te bepalen. En zelfs als deze methode meerdere mogelijke adressen oplevert, is het voor een stalker al heel wat minder moeite om ze allemaal te bezoeken dan op goed geluk een hele stad uit te kammen.
Dit is duidelijk een vertrekpunt op een hardlooproute
Ondertussen heeft Strava zijn heatmap aangepast om minder identificerende informatie te lekken. Zo wordt er alleen activiteit getoond in een gebied als meerdere (het is niet duidelijk hoeveel) gebruikers in dat gebied activiteit geüpload hebben tijdens het laatste jaar. Er worden nu ook alleen activiteiten getoond die de gebruikers met iedereen delen, terwijl vroeger ook activiteiten op de heatmap kwamen die slechts met volgers gedeeld werden. Bovendien bepalen de instellingen voor de zichtbaarheid van de kaarten die je deelt nu ook wat er op de heatmap terechtkomt. In het bijzonder haalt dat het begin- en eindpunt uit de heatmap als je instelt dat je dit niet op je kaarten wilt delen. Hiermee volgde Strava de suggesties van de onderzoekers.
Abortusklinieken
Fitnessapps zijn uiteraard niet de enige manieren om locatiedata te lekken. Google-accounts komen ook met een locatiegeschiedenis (de functie Tijdlijn). Ook al staat die standaard uitgeschakeld, veel mensen schakelen dit in omdat ze het handig vinden om achteraf op hun uitstapjes terug te kijken. Maar het risico bestaat dat ordediensten deze informatie bij Google opvragen.
Nu denk je misschien dat je geen illegale zaken doet en dat je dus niets te vrezen hebt, maar de wetten kunnen veranderen. Dat werd duidelijk toen in 2022 door een uitspraak van het Hooggerechtshof van de Verenigde Staten de staten weer het recht kregen om abortus in de eerste twee kwartalen van een zwangerschap strafbaar te stellen. Vrouwen die een abortus wilden, maakten zich zorgen dat de politie bij Google niet alleen hun zoekgeschiedenis kon opvragen, maar ook hun locatiegeschiedenis.
Google kondigde daarop aan dat het ‘gevoelige locaties’ zoals abortusklinieken, fertiliteitscentra en verslavingsklinieken niet lang na een bezoek uit de locatiegeschiedenis zou verwijderen. Dat was echter nogal voorbarig, want anderhalf jaar later bleek uit een onderzoek van de organisatie Accountable Tech dat deze plaatsen in 50 procent van de gevallen nog altijd in de locatiegeschiedenis bleven.
Ondertussen heeft Google heel wat aan de locatiegeschiedenis gesleuteld. Locatiedata worden nu standaard niet meer op de servers van Google opgeslagen, maar op het toestel zelf, tenzij de gebruiker expliciet kiest om ze in de cloud op te slaan. Standaard worden locatiedata ook na drie maanden verwijderd, tenzij anders ingesteld. Maar volgens Accountable Tech blijven die gevoelige locaties te zien in de navigatiegeschiedenis van de gebruikers van Google Maps. Google lijkt dus niet al te veel moeite te doen om de privacy van zijn gebruikers te beschermen.
Illegale visserij
Sommige partijen zijn overigens verplicht om hun locatie te delen. Dat is zo voor commerciële vliegtuigen, maar ook voor heel wat schepen. Met behulp van een AIS-transponder (Automatic Identification System) zenden schepen hun positie, snelheid en andere scheepsgegevens uit om de veiligheid van de scheepvaart te kunnen garanderen.
Voor schepen die illegale activiteiten doen, is dat natuurlijk minder interessant. Bij illegale bevissing zien we dan ook dat schepen hun AIS-transponder tijdelijk uitschakelen. Maar als je die signalen ontvangt en dan plots een gat in de scheepsroute ziet, kun je natuurlijk raden dat het schip daar zaken aan het doen is die het daglicht niet mogen zien. De website Global Fishing Watch (https://globalfishingwatch.org) houdt daarom AIS-data van vissersschepen bij en analyseert de gaten in scheepsroutes, die op illegale visserij kunnen wijzen.
De website Global Fishing Watch laat toe om illegale visserij te ontdekken
Is het de risico’s waard?
Uiteindelijk zal het altijd een kat- en muisspel blijven tussen diensten die locatiedata tonen en privacy-onderzoekers. Schijnbaar geanonimiseerde locatiedata zijn in combinatie met andere databronnen vaak toch tot individuen te herleiden, zoals al meermaals is gebleken. De conclusie uit al dit onderzoek is voor jou als gebruiker: bekijk toch maar eens waar je allemaal locatiedata deelt en of de voordelen die je eruit haalt de risico’s waard zijn.
