Een wake-up call voor veiligheidsdiensten

Interview Student Nathan Ruser bracht met een simpele tweet het gevaar van de sportapp Strava onder de aandacht.

Kleine lichtpuntjes op de wereldkaart van Strava verraden Amerikaanse militaire bases in Syrië en Afghanistan. Beeld Strava

Het Pentagon is een onderzoek begonnen naar veiligheidsafspraken op militaire bases. Het Nederlandse ministerie van Defensie gaat kijken hoe militairen beter om kunnen gaan met het delen van gps-data. De twintigjarige Australiër Nathan Ruser, student internationale veiligheid aan de Australian National University in Canberra, had niet verwacht dat een door hem verstuurde tweet zulke grote gevolgen zou hebben.

Afgelopen weekend twitterde hij dat Amerikaanse militaire bases duidelijk zichtbaar zijn op de openbare kaart van sportapp Strava. Strava bracht de kaart eind vorig jaar uit om te laten zien waar deelnemers sporten. De Australische student, die al sinds de middelbare school het conflict in Syrië op de voet volgt, zoomde in op lichtpuntjes in het Midden-Oosten. Dat bleken de hardlooprondjes van Amerikaanse militairen te zijn. Omdat de plaatselijke bevolking de app niet gebruikt springen de hardlooprondjes van de Amerikanen er op de kaart uit als een kerstboom op een donkere avond. De militairen hadden blijkbaar niet de instructie gekregen om het delen van data uit te zetten in de app.

Gevoelige informatie werd zichtbaar: een vermoedelijk CIA-complex in Somalië, Amerikaanse legerbases in Syrië en Afghanistan. Ook een Nederlandse militaire basis in Mali is op de kaart te vinden. Tot overmaat van ramp valt met de app ook gemakkelijk de identiteit van militairen te achterhalen. Wie ver genoeg inzoomt kan looprondjes van individuele gebruikers bekijken.

Ruser is de afgelopen dagen moeilijk bereikbaar: hij komt net terug van vakantie, zit in een verhuizing en werd de afgelopen dagen ineens gebombardeerd met interviews. CNN, BBC, The New York Times en talloze Australische media willen weten hoe hij kwam op wat hij zelf vooral ziet als een „toevallige vondst”. Tijdens een Skype-interview schakelt hij het beeld liever uit: Ruser heeft nog geen wifi in zijn nieuwe studentenhuis en wil de databundel op zijn telefoon sparen.

Heb je getwijfeld om het te delen?

„Ja, kort nadat ik voor het eerst postte op Twitter verwijderde ik mijn bericht. Vervolgens heb ik met een aantal mensen erover gesproken. De conclusie was dat het misschien beter was om het onder de aandacht te brengen zodat er wat aan kan worden gedaan.”

Stel dat er een succesvolle aanslag wordt gepleegd met informatie van Strava, zou jij je daar medeverantwoordelijk voor voelen?

„Ik denk het wel. De kaart zelf is niet het grootste probleem. Het laat alleen zien waar militaire bases zich bevinden. Mijn tweet was bedoeld als wake-upcall voor veiligheidsdiensten. Maar ik wist toen ik hem stuurde niet dat het ook mogelijk is om de identiteit van mensen vast te stellen met de app. Dat maakt het een veel gevoeligere veiligheidskwestie. Als ik dat had geweten, had ik het waarschijnlijk eerst doorgegeven aan veiligheidsdiensten of Strava.”

Waarom zijn de risico’s van deze kaart niet eerder opgemerkt?

„Het zijn volgens mij twee verschillende werelden die simpelweg niemand eerder heeft samengebracht: het bijhouden van hardlooprondjes en de activiteiten van militairen. Tegelijkertijd kan je je ook afvragen: hoe veilig zijn de servers van programma’s zoals Strava? En wat kunnen internationale veiligheidsdiensten met veel meer middelen en macht ermee doen?”

„Tegelijkertijd treft militaire en veiligheidsdiensten ook blaam, omdat ze de kwetsbaarheid van Strava kennelijk niet hebben goed hebben aangekaart en personeel gewoon rondjes lieten rennen.”

Lees ook: Sportapp Strava laat legerbases wereldwijd zien
    • Christiaan Paauwe