Stadtwerke Osnabrück adverteren hun applicatie Yaniq met het aanbod van “busreizen tegen de beste prijs”. Met een veegbeweging kunnen gebruikers inchecken en vervolgens genieten van een alles-in-één contactloos ticket. Een IT-expert met het pseudoniem “Kantorkel” waarschuwde op het Chaos Communication Congress (rC3) op afstand voor virtuele hackerbijeenkomsten dat gemakswinst hand in hand gaat met wijdverbreid verlies van privacy. Op de achtergrond is er “gegevensbewaring voor het lokale openbaar vervoer”.
Verschillende vervoersverenigingen testen momenteel zogenaamde check-in/be-out (CiBo)-systemen om gebruikers gemakkelijker door het bestaande tariefbos te laten navigeren. Relevante apps zoals Yaniq maken automatische betalingen via smartphones mogelijk. Door de kwetsbaarheid slaagde Kantorkel erin om in het backend-systeem van de Osnabrück-app te komen en zonder onderbreking te browsen nadat een testgebruiker was aangemaakt. Het was een productieomgeving vóór de officiële ingebruikname. Desalniettemin is een diep inzicht in de basiskenmerken van de procedure mogelijk geworden.
data bergen
Hackers zijn erg verrast door “hoeveel data dit systeem wil”. De locatie van een gebruiker wordt bijvoorbeeld gevolgd via een Bluetooth-baken dat op de bus wordt verspreid en dat wordt gebruikt om gebruikers automatisch te controleren wanneer ze het voertuig verlaten. Tegelijkertijd worden echter ook GPS-coördinaten verzameld en “gevolgd gedurende tien tot 15 minuten na de afdaling”. Deze tweede categorie geodata wordt “later ook thuis genoemd”.
De app weet bijvoorbeeld “waar je woont” als je huis ongeveer een kwartier rijden is, legt Kantorkel uit. Dit wordt duidelijk wanneer men relatief snel een gebouw betrekt waar niet al te veel andere mensen zijn. Zelfs bewegingen binnen het vermeende appartement worden nog steeds geregistreerd. Met verschillende betrouwbaarheidsniveaus, beoordeeld door een speciaal “vertrouwen”, kan in het backend-gebied bijvoorbeeld worden gezien of de gebruiker waarschijnlijk gaat wandelen of fietsen.
Yaniq-applicatie gepresenteerd door Kantorkel
(Afbeelding: rC3 media.ccc.de, licentie) CC van 4.0)
Activisten kunnen niet zeggen of en hoe lang deze gevoelige en betekenisvolle informatie in de huidige versie wordt bewaard. In een Stadtwerke’s lijst met veelgestelde vragen over Yaniq er staat: “Uw persoonlijke gegevens worden bewaard zolang als nodig is om dit doel te bereiken” en er zijn geen wettelijke bewaarvereisten of andere wettelijke rechtvaardigingen. In de regel worden persoonsgegevens tot tien jaar na afloop van het contract bewaard. Wanneer de contractuele relatie eindigt, worden gebruiksgegevens uiterlijk twee jaar verwijderd.
visualisatie
Volgens de hacker kon Stadtwerke een pseudoniem “universele ID”, activiteitstijd, laatste stop en tussenstop en tarief zien in de versie die hij controleerde via het “Trips & Tickets”-overzicht. De fraudescore wordt ook weergegeven. Over het algemeen wordt informatie verzameld over de gebruikte telefoon, verbindingskwaliteit en verschillende check-in/out-gebeurtenissen, die ook anoniem kunnen worden geëxporteerd. Backend-gebruikers kunnen ook gegevens hebben over de uitvoer van bakens, inclusief de resterende batterijcapaciteit.
Kantorkel legt uit dat de weergave “verdachte beweging” wordt gebruikt om rijen in een tabel voor elke gebruiker te maken, waarin het app-gebruik voor elk uur van de dag wordt weergegeven. Zo is te zien dat iemand ’s ochtends na een relatief korte nacht weer incheckt en waar ze naartoe gaan. Dit wordt gevisualiseerd op een kaart. Maar Kantorkel wijst er ook op dat er minder berichten verzameld kunnen worden in een productief systeem.
“Verdachte beweging”
(Afbeelding: rC3 media.ccc.de, licentie) CC van 4.0)
Volgens Stadtwerke wordt naast identificatiegegevens ook contractspecifieke informatie verwerkt, waarbij “reisgegevens” een pseudoniem krijgen. Daarnaast zullen er “geldigheidskenmerken” zijn zoals vertrekstops, reisgegevens, “vertrekdatum en -tijd”, routes en transfers evenals “IT-gebruik en loggegevens. U verzamelt ook “andere persoonlijke gegevens zoals IP-adres, deelname en kredietwaardigheid op aanvraag bij kredietbureau Creditreform.
Gemakkelijkere oplossing
Kantorkel wees erop dat tickets op een gegeven moment betaald moesten worden en daarom niet altijd een pseudoniem kon worden gehandhaafd. Voor facturatie is een “directe verbinding” met de betrokkene vereist. Aanbieders gebruiken ook GPS om misbruik te compliceren. Het is mogelijk om de applicatie te beëindigen “wanneer u al bent uitgelogd”. Welk effect dit zal hebben op het facturatieproces is onduidelijk.
De expert spoort Yaniq-gebruikers aan om bij nutsbedrijven navraag te doen naar hun datageschiedenis om de daadwerkelijke opslag uit te leggen. Natuurlijk is het mogelijk om dingen data-efficiënter te maken. Hij over het algemeen voor eenvoudigere tarieven, bijvoorbeeld met een dagkaart voor twee euro of openbaar vervoer betalen naar gebruik, als groep “Voldoende toegang” met het voorbeeld van Bremen. Het was ook niet de eerste maas in de wet die hij in de mobiele ticket-app had gecheckt. In het geval van Osnabrück was het rapportageproces bij Stadtwerke, Siemens en eos.uptrade, leverancier van ticketoplossingen, Hamburg “zeer rustig”. Hij heeft ook de bevoegde gegevensbeschermingsautoriteit op de hoogte gebracht.
(jk)
“Certified introvert. Devoted internet fanatic. Subtly charming troublemaker. Thinker.”
