Datalek: duizenden foto’s van automobilisten op straat

Het gaat om beelden waarop de kentekens van auto’s te zien zijn, maar waarop bovendien inzittenden van auto’s, naast fietsers en voetgangers, in veel gevallen duidelijk zijn te herkennen. Ook is op de foto’s te zien waar ze zijn gemaakt, op welke dag en hoe laat. Daarnaast hebben buitenstaanders de interne handleiding van het softwaresysteem kunnen inzien.

Argos onderzocht het lek met behulp van cybersecurity-expert Dave Maasland, directeur van computerbeveiligingsbedrijf Eset Nederland.

De opnamen dateren van 2017 tot en met heden. Voor zover Argos heeft kunnen nagaan, zijn ze gemaakt op diverse locaties in Maastricht, Zutphen, De Bilt en Den Bosch, maar mogelijk in meer Nederlandse gemeenten.

Hoogleraar recht en informatisering Corien Prins noemt het lek ‘erg’ – niet alleen omdat hier de persoonsgegevens van duizenden mensen slecht zijn beschermd, maar ook omdat kwaadwilligen met deze data burgers kunnen afpersen of oplichten, bijvoorbeeld door valse verkeersboetes te incasseren. 

‘Het gaat heel vaak om de combinatie van talloze gegevens’, aldus Prins. ‘In dit geval is het heel makkelijk bij deze gegevens te komen, dat betekent dat hackers en allerlei onbevoegden dat ook zouden kunnen. En zoiets als identiteitsfraude vindt plaats door een combinatie van verschillende gegevens.’

Prins wijst op het grote datalek, drie weken geleden, bij RDC. Dit bedrijf, dat ICT-diensten levert aan garagebedrijven, was slachtoffer van een hack waarbij ruim zeven miljoen persoonsgegevens werden ‘gestolen’, waaronder namen, adressen en telefoonnummers. 

‘Aan de hand van het lek bij de garagebedrijven krijg je talloze gegevens over personen, gecombineerd met een kenteken’, zegt Prins. ‘En hier héb je die kentekens, en kun je die personen in beeld brengen op een locatie, op een moment van de dag. Dus het verrijkt elkaar. Als je de kentekens uit dit lek combineert met de gegevens die je krijgt vanuit de hack bij de garagebedrijven, dan weet je exact wie destijds bijvoorbeeld in De Bilt rondreed.’

ARS Traffic, naar eigen zeggen een ‘internationale marktleider op het gebied van verkeer en transporttechnologie’, zegt het datalek inmiddels te hebben gedicht. Maar directeur Jan Linssen kan niet zeggen hoe lang het heeft bestaan. ‘Waarschijnlijk is dit tijdens onderhoudswerkzaamheden gebeurd. Wij doen dit doorgaans twee keer per jaar en vermoeden daarom dat het ergens in 2020 is gebeurd.’

Linssen kan evenmin met zekerheid zeggen of criminelen de foto’s en video’s hebben bekeken of gedownload. Maar grote risico’s lopen gefotografeerde burgers niet, meent hij. ‘Het traceren van personen aan de hand van beelden met kentekens is niet mogelijk zonder in te breken bij de systemen van de RDW. Misbruik door kwaadwillenden is eenvoudiger door een dag met een notitieblok langs de weg of op een parkeerplaats te staan.’

Beveiligingsexpert Dave Maasland plaatst daar kanttekeningen bij. Want hackers zijn juist voortdurend bezig om kleine stukjes informatie over burgers met elkaar te combineren, zodat een compleet beeld ontstaat. Daarna slaan zij hun slag met een gefingeerde mail. 

‘Stel je nou eens voor dat ik een foto hiervan gebruik’, zegt Maasland. ‘Ik zeg: u bent helaas geflitst, betaal maar. Eigenlijk is dat een honderd procent phishingmail die voor het gevoel van het slachtoffer ook klopt. Want ja, ik rééd daar! En misschien reed ik wel te hard.’

‘Maar: wat je ook zou kunnen doen, is ditzelfde principe toepassen en een e-mail sturen naar een medewerker van dit bedrijf. Zeggen: nou, ik ben van instantie X, ik kwam deze foto tegen, ik zie dat er een fout zit in het systeem, kun je hier op klikken? En omdat het gaat om echte gegevens van dat bedrijf, is een medewerker natuurlijk geneigd om te klikken. En kan hij zomaar toegang verschaffen tot die organisatie.'

De gemeenten met wie ARS Traffic in zee zijn gegaan, reageren verbolgen op het datalek. 

‘We zijn enorm teleurgesteld in de betrouwbaarheid van het verkeerscontrolesysteem van ARS Traffic’, schrijft wethouder André Landwehr uit De Bilt in een reactie aan Argos. ‘Dit hadden we van deze samenwerkingspartij niet verwacht. (…) Als gemeente staan we ervoor de privacy van onze inwoners of bezoekers aan de gemeente te beschermen. Dan is het een hard gelag, als blijkt dat een ogenschijnlijk betrouwbare partner dit in zijn processen niet naleeft.’

De gemeente Maastricht spreekt van ‘een ernstige fout’ en schrijft dat ze geen weet had van de testomgeving van ARS Traffic waar het lek heeft bestaan. Gebleken is dat die testomgeving ‘nooit in de certificeringstesten en security checks is meegenomen’. Maastricht zegt zich te ‘beraden op verdere samenwerking met ARS binnen dit project’.

Wethouder Annelies de Jonge van Zutphen meldt: ‘Dit had niet mogen gebeuren. We hebben een verwerkersovereenskomst. Daarin is alles – op papier – goed geregeld. In de praktijk is nu echter gebleken dat ARS Traffic de informatieveiligheid niet op orde heeft. Wij zijn van de papieren waarheid uitgegaan.’

De Jonge erkent dat de gemeente Zutphen niet heeft gecontroleerd of ARS zich houdt aan de afspraken over de opslag van de beelden. Dat zouden gemeenten juist wel moeten doen, zegt hoogleraar Prins. ‘De gemeente heeft te handhaven op eventueel sluipverkeer. De gemeente zegt: dat kunnen we allemaal niet zelf. Dus die neemt een bedrijf in de hand. Maar dat betekent niet dat de gemeente daarmee ook de verantwoordelijkheid uitbesteedt bij het bedrijf. Nee, beiden blijven verantwoordelijk voor het conform de wet handelen. Maar ook dus voor de schade en de ellende die voortvloeit uit het niet conform de wet handelen.’