‘Met je nummerplaat kan iedereen je locatie achterhalen’

Auto's in een parkeergarage.
Els Bellens
Els Bellens Technologiejournaliste bij Data News

Parkeerapps zoals 4411 zijn een privacynachtmerrie. Dat achterhaalde ethische hacker Inti De Ceukelaire met een nieuwe stunt.

Voor een onderzoek vroeg hij de medewerking van 120 auto-eigenaars, wiens locatie hij wilde natrekken met alleen hun nummerplaat. Daarvoor gebruikte hij verschillende parkeerapps, zoals die van parkeerbedrijven als Indigo, maar ook de parkeerapp 4411. Deze bedrijven laten gebruikers hun eigen nummerplaat invoeren, om zo hun wagen terug te vinden. De apps controleren echter niet of het ook echt de eigenaar van de wagen is die de locatie te zien krijgt.

Combineer dat met automatische camera’s en je krijgt een probleem. ‘Het blijkt een ramp voor onze privacy’, zegt Inti De Ceukelaire aan de VRT. Mensen met slechte bedoelingen zouden het systeem kunnen misbruiken. Voor zijn eigen experiment nam hij zichzelf voor om honderd dagen lang 120 wagens te proberen traceren via verschillende parkingsapp. Dat lukte in zo’n derde van de gevallen.

De Ceukelaire gebruikte twee manieren om wagens te traceren. Een daarvan werkt met de parkeerapp van Indigo, die meerdere ondergrondse parkeergarages uitbaat. Via een professioneel account in de app kon De Ceukelaire de 120 nummerplaten invoeren. Hij kreeg dan meteen te zien wanneer een van die wagens een parkeergarage in- of uitreed. ‘Er wordt niet gecontroleerd of de ingegeven nummerplaat ook aan de gebruiker van de app toebehoort’, legt De Ceukelaire aan VRT uit. ‘Daardoor is het mogelijk om parkeersessies van een voertuig dat zo een garage of parkeerterrein gebruikt, te onderscheppen. Of de bestuurders zelf parkeerapps gebruiken, speelt geen rol.’

Daarnaast bouwde hij ook een computerprogramma rond gratis parkeersessies. Het gaat dan om sessies voor 15 minuten gratis parkeren, Kiss & Ride en dergelijke. ‘Eens een gebruiker zijn nummerplaat voor zo’n sessie gebruikt, wordt iemand die dezelfde nummerplaat ingeeft, geweigerd’, schrijft hij op Twitter. Via een computerprogramma ‘boekte’ De Ceukelaire alle gratis sessies voor de getrackte nummerplaten in alle zones, een hele nacht. Wilde het slachtoffer dan ergens parkeren, kreeg hij zelf de notificatie met de fout.

Inti De Ceukelaire staat bekend als een ethisch hacker en vond enkele jaren geleden onder meer een datalek bij Facebook.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content