Belgische hacker kan locatie van automobilisten volgen via parkeerapps

Een hacker heeft een manier ontdekt om de locatie van kentekens te achterhalen via parkeerapps. Inti de Ceukelaire ontdekte dat hij nummerplaten van anderen kon toevoegen aan die apps. Hij bouwde een tooltje dat pushmeldingen stuurt als dat kenteken door een camera werd gescand.

Inti de Ceukelaire riep de afgelopen weken de hulp in van 120 vrijwilligers die ermee akkoord gingen hun kenteken te laten volgen. Het lukte hem om van bijna een derde daarvan de locatie te achterhalen. Dat lukte via parkeerapplicaties zoals 4411 en Indigo Neo, die vooral in Vlaanderen en Wallonië populair zijn. 4411 werkt ook in Nederland. In die apps is het mogelijk automatische betalingen te doen op basis van een kenteken. Gebruikers voeren hun kenteken in en koppelen daar hun bankrekeningnummer aan. Als ze een garage inrijden met nummerplaatherkenning, wordt er automatisch afgerekend, schrijft hij op een voor het project opgerichte website.

De Ceukelaire zag dat die apps niet verifiëren of een kenteken aan iemand toebehoort. Daardoor is het mogelijk ieder kenteken in de apps in te voeren. Als een auto-eigenaar daarna parkeert, kan hij dat terugzien in de app. De Ceukelaire zegt dat hij van 26,5 procent van de deelnemers binnen honderd dagen hun locaties kon achterhalen. In Nederland en België lukte dat met de parkeerapps van EasyPark, Q-Park, Indigo Neo, Interparking en APCOA.

Een aanvaller parkeert in dat geval wel op naam en kenteken van het slachtoffer. Dat betekent dat hij ook betaalt voor de parkeersessie. De Ceukelaire zegt hij in totaal 273,85 euro uitgaf aan parkeertickets. Een gemiddelde aanval kostte daarmee 7,82 euro.

nummerplaten Inti de Ceukelaire

De Ceukelaire ontdekte daarnaast een tweede methode om ook parkeersessies te onderscheppen op de openbare weg. Dat gebeurde bij parkeerplaatsen langs de weg waar automobilisten een beperkte tijd gratis mogen parkeren op basis van hun kenteken. Dat wordt niet via ANPR-camera's doorgegeven, maar door de autorijder zelf via een parkeermeter langs de straat. Dat kan vaak maximaal een of een beperkt aantal keren per dag. De Ceukelaire bouwde een tool die bij parkeerapp 4411 probeerde een bepaald kenteken ergens aan te melden voor die ene keer gratis parkeren. Als zo'n sessie die dag al eens was ingezet, ontstond er een foutmelding. Op basis daarvan kan een hacker met terugwerkende kracht achterhalen waar iemand heeft geparkeerd.

Volgens De Ceukelaire zijn er in West-Europa ruim 4000 locaties waar mogelijk wordt gescand op kenteken. De ethisch hacker, waar Tweakers eerder dit jaar een interview mee hield, zegt dat parkeerapps 'een onschatbare bron van informatie prijsgeven over bestuurders'. "Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen", schrijft hij. "Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen. Hoe meer momentopnames het systeem kan onderscheppen, hoe groter de kans om te achterhalen wie de bestuurder is."

IT-banen

Reacties (153)

rutje1 26 september 2022 13:28

Soortgelijke situatie waarschijnlijk ook mogelijk bij Parkmobile. In het verleden heb ik een auto van een vriend toegevoegd omdat hij op onze kosten mocht parkeren. Blijkbaar heb ik daarbij ook de kentekenherkenning aan gezet / laten staan. Enige tijd daarna kreeg ik een pushmelding omdat hij ergens een parkeergarage was ingereden en de parkeeractie dus gestart was.

Als je bewust dus een ander kenteken invoert verwacht ik dat je iedereen kan traceren. Het hoeft je niet eens wat te kosten, want in dit geval kocht die vriend alsnog een uitrijkaart en werd mij niets in rekening gebracht.

ETH0.1 @rutje1 • 26 september 2022 14:08

Super handige functie voor een stalker. Als hij het kenteken van zijn ex weet dan krijgt hij een pushmelding als zijn ex ergens parkeert en kan hij haar super gemakkelijk volgen.

erg kwalijk en gevaarlijk deze functie, ik ben benieuwd wat de privacy waakhond hier van vind

b12e @ETH0.1 • 26 september 2022 14:37

An sich is die functie prima, als je als gebruiker van de functie kan bewijzen dat het kenteken behoort tot jou en dat bewijs ook wordt afgedwongen door de app.

Dan is het in weze niet anders dan inloggen op een apparaat en "Find My" openen om de locatie van je eigen apparaat (lees: auto) te kunnen zien.

Het kwalijke is dat er geen check wordt gedaan dat de auto ook bij de appgebruiker hoort. Bijvoorbeeld een koppeling tussen naam op de betaalpas/bankrekening x naam op het kentekenbewijs zou dit soort dingen kunnen vermijden.

bwynants @b12e • 26 september 2022 14:44

en wat doe je dan met een huurwagen? niet meer parkeren?

MischaBoender @bwynants • 26 september 2022 14:46

Geen gebruik maken van kenteken herkenning om in te rijden bij een parkeergarage maar gewoon ouderwets een kaartje trekken bij de paal en afrekenen bij de automaat.

RRRobert @MischaBoender • 26 september 2022 14:55

Geen gebruik maken van kenteken herkenning om in te rijden bij een parkeergarage maar gewoon ouderwets een kaartje trekken bij de paal en afrekenen bij de automaat.

Helaas... Meer en meer steden controleren of je hebt betaald voor je parkeerplek, door (vanuit een voertuig of mobiele scanner) alle kentekens te scannen die ze in beeld krijgen. Heb jij net op dat moment je auto in een parkeervak gezet en je moet twee keer 100 meter lopen om een kaartje te trekken, dan trek je (pun intended) aan het kortste eind als het kenteken van je auto net tijdens die actie wordt gescand.

Fly666 @RRRobert • 26 september 2022 21:04

Indien je auto wordt gescand binnen de 15 minuten voor je uw nummerplaat in de paal invoerd, wordt dit teniet gedaan bij nemen van je ticket.

ThePendulum @Fly666 • 26 september 2022 22:53

Ik kan me niet herinneren dat een parkeerautomaat mij ooit om mijn kenteken heeft gevraagd? Eveneens bestaat het risico dat er een controle plaats vindt nét als je bij de automaat staat toch even lang als die palen zelf, en is dit in de praktijk eigenlijk nooit een probleem? Ze kijken heus wel of diegene die bij de paal staat toevallig de eigenaar is van de auto die niet betaald heeft.

Fly666 @ThePendulum • 27 september 2022 23:51

Bijna alle parkeerpalen waar ik parkeer (4411) moet er toch een nummerplaat ingevuld worden en wordt deze op het ticket afgeprint. Dit zodat ze met hun camerawagen enkel langs de wagen moeten voorbijrijden en de nummerplaat lezen om te weten of je betaalt hebt. Indien je nog niet betaalt hebt, wordt het opgeslagen tenzij je binnen 15 minuten toch betaalt... Op deze manier kunnen ze met 1 wagen met camera's , in zeer korte tijd heel veel niet-betalers pakken en er nog meer op verdienen...

MischaBoender @RRRobert • 26 september 2022 15:21

Naast wat @triflip al benoemd werkt de "hack" volgens mij niet in dit geval (behalve als je gebruik maakt van die gratis parkeeroptie in België). Voor sommige steden kun/moet(?) je inderdaad een kenteken opgeven bij de parkeerautomaat als je aan de weg parkeert, maar dat triggert geen parkeersessie in een app. Een scan van een scanauto trouwens ook niet.

Er gaat trouwens niet meteen een naheffing de deur uit als jouw auto wordt gescant en er niet is betaald. Er wordt later nog een controlle gedaan en als er dan gedetecteerd wordt dat je niet binnen een bepaalde tijd een kaartje hebt gekocht voor de zone waar je bent gescant krijg je die naheffing.

RJG-223 @RRRobert • 26 september 2022 17:16

Heb jij net op dat moment je auto in een parkeervak gezet en je moet twee keer 100 meter lopen om een kaartje te trekken, dan trek je (pun intended) aan het kortste eind als het kenteken van je auto net tijdens die actie wordt gescand

Daar houden ze beslist rekening mee. Anders krijgen ze extreem veel klachten en negatieve reviews. Daar zitten ze beslist niet op te wachten.

Als ze een kenteken scannen waarvoor niet betaald is, maar binnen bijv. 10 minuten daarna is er wel betaald, dan zullen ze er geen probleem van maken. En ze weten ook hoe ver een auto van een automaat staat, en bij welke automaat er daarna betaald is. Ze kunnen dus prima inschatten of iemand misschien net bezig was te betalen, of op weg er naar toe, of dat de auto gewoon zonder betalen geparkeerd was.

triflip @RRRobert • 26 september 2022 15:03

Dan kan je gewoon bezwaar maken en hoef je niet te betalen of krijg je het boete bedrag terug betaald als je al betaald had. Natuurlijk het is vervelend en kost je even 5 minuten extra tijd maar de wereld vergaat er niet van.

supersnathan94 @triflip • 26 september 2022 15:56

Natuurlijk het is vervelend en kost je even 5 minuten extra tijd

In Nederland kost dat je meer dan 5 minuten tijd. Heb het al meermaals geprobeerd, maar na meerdere uren van uitzoekwerk en foutmeldingen heb ik uiteindelijk de hoop opgegeven. Dat was me de tijd niet meer waard.

Iemand die zegt oh ja ff aanvechten heeft dat hoogstwaarschijnlijk al een tijdje niet meer geprobeerd. Het lijkt wel alsof ze dat express gewoon zo kut mogelijk maken als maar kan, want het kost me een partij tijd dat is niet normaal.

triflip @supersnathan94 • 26 september 2022 18:43

Ik heb het 2 maanden geleden nog gedaan (in NL) online formulier invullen en foto’s van de situatie toevoegen en klaar. Ondertussen geld terug ontvangen (had wel betaald voor het geval dat).

Ze hebben ondertussen zelfs het verkeersbord in kwestie 3 meter verplaatst zodat ik het de volgende niet meer kan winnen als ik het aanvecht.

supersnathan94 @triflip • 26 september 2022 19:29

Ja het stukje fotos van de situatie toevoegen was toen een probleem. Dat ging gewoon niet. Zelfde voor het verhaal erbij. Heb ik toen twee keer mogen schrijven omdat de eerste keer niet goed ging en het dan ook gewoon weg is (2 A4 inclusief wetteksten en citaten).

Uiteindelijk heb ik drie foutmeldingen gehad. Toen kreeg ik pas te horen dat je nog een berijdersverklaring moest hebben en toen ik dat een week later probeerde ging het weer stuk. Toen heb ik het gewoon opgegeven. Was in uren al weer meer kwijt.

Had er laatst eentje waar ik moest uitwijken voor iemand en toen werd ik staande gehouden. Vet onterecht vond ik zelf (geen richting en maar gewoon gaan terwijl ik er al naast reed), maar dat werd dus een strafbeschikking ipv wet mulder. Dan mag je dus alles met de hand gaan doen he. Dus ook het uitzoeken naar welk district je de brief moet sturen. En dan denk je, nou ff op de website zoeken, maar da is nie. Kom op hee. Heb wel wat beters te doen.

RJG-223 @MischaBoender • 26 september 2022 15:23

Geen gebruik maken van kenteken herkenning om in te rijden bij een parkeergarage maar gewoon ouderwets een kaartje trekken bij de paal en afrekenen bij de automaat.

Bij parkeergarages is dat al vaak geen optie meer. Die scannen sowieso je kenteken, en koppelen dat direkt aan het kaartje. Als je dan betaald hebt, dat scant ie bij het uitrijden je kenteken weer, en kun je zo doorrijden. Zonder het kaartje ergens in te voeren of zo.

b12e @RJG-223 • 26 september 2022 17:47

Maar dat is dus geen probleem.

De probleemstelling is: parkeersapps moeten checken of je auto en de app matchen qua identiteit. Dat valt op te lossen, en dan is deze "hack" niet meer mogelijk.

Als je dan alsnog langs een scanner gaat is dat prima, omdat de enige die eventueel notificaties kan krijgen jijzelf bent.

Transferno @MischaBoender • 26 september 2022 15:37

Gaat de scanner van de parkeergarage niet sowieso een scan doen? Je rijdt dan op en voor je de kans hebt om een kaartje te nemen is je kenteken gescand en heeft je stalker een bericht voor je parkeersessie.
M.a.w. vanuit privacy oogpunt kun je het niet altijd voorkomen.

MischaBoender @Transferno • 26 september 2022 15:44

Klopt, maar in dit geval reageerde ik specifiek op een bericht over huur auto's. Nog steeds een privacy issue natuurlijk, maar ik denk iets minder groot omdat huurauto's nog veel rouleren.

Dennisdn @MischaBoender • 26 september 2022 17:52

Hoe ga je een kenteken verifiëren dan? Kopie kentekenbewijs insturen naar een commerciële partij?

mikeyfire643 @Dennisdn • 26 september 2022 21:31

Ik zit zelf te denken aan een Idin oplossing. (De ideal variant voor verificatie, alleen dan met RDW gegevens)

b12e @bwynants • 26 september 2022 14:46

Gewoon parkeren met een parkeerticket ipv een app? En gaan afrekenen aan een machine, zoals de meeste mensen het tegenwoordig nog doet.

Edit: zoals MischaBoender ook gewoon correct aangeeft.

[Reactie gewijzigd door b12e op 26 juli 2024 18:54]

RJG-223 @b12e • 26 september 2022 15:21

Gewoon parkeren met een parkeerticket ipv een app

Dat kan niet overal. Ik heb eens in Rotterdam in een parkeergarage geparkeerd, en dat ging niet via een ticket, maar met de telefoon. Probleem was daarna dat ik geen bank-app op m'n telefoon had, en dus wel binnen gekomen was, maar later niet kon betalen. Er was ook geen betaalautomaat. Uiteindelijk heb ik de klantenservice moeten bellen om weg te kunnen...

dasiro @bwynants • 26 september 2022 15:57

verhuren met de feature dat parkeerkosten via de verhuurfirma worden afgerekend, die kan immers in de app mooi zien waar hun wagen geparkeerd heeft en interfacen met hun eigen systeem, kan je nog handig partnerships aangaan met parkeergarages ook

starfight @b12e • 26 september 2022 14:56

Zou evt op te lossen zijn met een QR code op de Nationale Autopas (of de carpass in Belgie), dat je deze verplicht moet scannen om je auto toe te voegen aan de app. Lijkt me niet zo moeilijk te implementeren.

[Reactie gewijzigd door starfight op 26 juli 2024 18:54]

RJG-223 @starfight • 26 september 2022 15:26

Zou evt op te lossen zijn met een QR code op de Nationale Autopas (of de carpass in Belgie), dat je deze verplicht moet scannen om je auto toe te voegen aan de app. Lijkt me niet zo moeilijk te implementeren.

En je zou ook centraal moeten kunnen nagaan welke diensten jouw kenteken volgen. Zodat je kunt controleren dat je geen ongewenste stalkers hebt, bijvoorbeeld omdat iemand (bijv. boze ex, bemoeizieke ouders, etc. etc.) ooit die QR code heeft kunnen scannen.

supersnathan94 @RJG-223 • 26 september 2022 15:54

Maar dat gaat dus problemen opleveren. Het punt van een kenteken is juist dat dit een publiek gegeven is. Je kunt daarmee allerlei gegevens opvragen bij het RDW. Heel handig voor carspotters, maar ook in geval van een ongeval even kijken of de tussenpartij een auto rijd waar zaken goed voor geregeld zijn of dat je beter direct de politie kunt bellen.

Het is nu al zo dat je voor dingen als parkeervergunningen ook een berijdersverklaring moet hebben. Dus voor dat soort zaken zijn er al extra checks.

RJG-223 @supersnathan94 • 26 september 2022 16:13

Maar dat gaat dus problemen opleveren. Het punt van een kenteken is juist dat dit een publiek gegeven is

Hoezo problemen ? De mogelijkheid voor de eigenaar van de auto om ergens op te vragen bij welke diensten / apps zijn kenteken geregistreerd is lijkt me helemaal geen probleem. Iedere parkeergarage (of zo) die kentekengegevens aan een app wil doorgeven, kan dat bijvoorbeeld bij de RDW registreren. De eigenaar kan dan bij de RDW aangeven welke apps toestemming hebben, en wat de bijbehorende klantcode is. Ik snap niet wat het feit dat een kenteken publiek is er mee te maken heeft. Het gaat erom welke bedrijven welke informatie met andere bedrijven mogen delen.

Het is nu al zo dat je voor dingen als parkeervergunningen ook een berijdersverklaring moet hebben. Dus voor dat soort zaken zijn er al extra checks.

Dat is vermoedelijk alleen om te zorgen dat ook enkel mensen die er wonen voor hun eigen auto een parkeervergunning aanvragen. Dat heeft dus niets te maken met de vraag of de (privacy-gevoelige) gegevens van een kenteken door een parkeergarage met een gebruiker van een parkeer-app gedeeld mogen worden. Dus dat is een heel ander soort check, met een heel ander doel. Hoe dan ook. parkeergarages kunnen nu blijkbaar vrijuit kentekens doorgeven aan parkeerapps. De checks daarvoor zijn er dus duidelijk niet. Anders gebeurde het niet, en was dit artikel niet geschreven.

supersnathan94 @RJG-223 • 26 september 2022 16:24

parkeergarages kunnen nu blijkbaar vrijuit kentekens doorgeven aan parkeerapps. De checks daarvoor zijn er dus duidelijk niet. Anders gebeurde het niet, en was dit artikel niet geschreven

Die parkeergarages zijn dan ook aangesloten bij de app en door je kenteken in te voeren bij die app geef je dus akkoord dat zij dit voor je regelen.

Het grote probleem gaat zijn dat het grootste deel van het Nederlandse wagenpark helemaal niet in privé bezit is en je dus niet zomaar even zo’n code ter beschikking hebt. Zou ik zeker iedere keer als in zo’n app gebruik of portaal aan de weg die code bij de leasemaatschappij op moeten gaan vragen. Of bij de verhuurder. Of als ik een auto simpelweg geleend heb van iemand.

Nee veel te veel gedoe. Kost ook allemaal veel te veel geld, want dan mag je dat gewoon extra gaan betalen voor kenteken registratie of iedere keer dat je een app wil toevoegen.

Maakt concurrentie ook erg lastig doordat je niet zomaar even makkelijk kunt wisselen naar een nieuwe app.

En internationaal kun je het helemaal vergeten.

Leuk als je dan in Spanje staat.

RJG-223 @supersnathan94 • 26 september 2022 16:57

Die parkeergarages zijn dan ook aangesloten bij de app en door je kenteken in te voeren bij die app geef je dus akkoord dat zij dit voor je regelen.

Ja, maar als je iemand anders' kenteken invoert, heeft die ander geen toestemming gegeven. En dat is dus het probleem.

Het grote probleem gaat zijn dat het grootste deel van het Nederlandse wagenpark helemaal niet in privé bezit is en je dus niet zomaar even zo’n code ter beschikking hebt. Zou ik zeker iedere keer als in zo’n app gebruik of portaal aan de weg die code bij de leasemaatschappij op moeten gaan vragen. Of bij de verhuurder. Of als ik een auto simpelweg geleend heb van iemand.

Je hoeft ook helemaal geen code te hebben. Je moet toegang hebben tot de privacy-gevoelige gegevens van de auto waarin je rijdt. Misschien is de RDW niet de meest geëigende manier, omdat de vaste berijder inderdaad iemand anders kan zijn dan de eigenaar. Maar dan kan het dus een andere dienst zijn. Of dan zou je je bij de RDW ook als vaste berijder kunnen registreren. Dan kan je baas ook niet automatisch bij al jouw parkeergegevens. Wel zo handig.

Feit blijft, dat jij toestemming moet kunnen geven voor het delen van de privacy-gevoelige informatie van jouw auto. Waarschijnlijk volgt dat automatisch uit de GDPR, en zijn de parkeer-apps en/of parkeer-garages dus feitelijk gewoon in overtreding.

En als jij dus de vaste berijder bent, dan moet je dat dan inderdaad via de feitelijke eigenaar (bedrijf, lease-maatschappij) gaan registreren.

Nee veel te veel gedoe.

Ja natuurlijk. Duh. Privacy en veiligheid is gedoe. Het is veel makkelijker als ik niet steeds m'n huis helemaal op slot moet doen en ramen dicht als ik weg ga, als ik m'n fiets niet met twee sloten vast moet zetten, en niet steeds een wachtwoord of code hoef in te typen op m'n telefoon en computer. Maar dat is dus niet veilig. En alle privacy-beschermende maatregelen die de afgelopen jaren geïntroduceerd zijn, zijn óók lastig. Maar als we dat alles 'voor het gemak' afschaffen, dan schaffen we ook de veiligheid en de privacy af.

Kost ook allemaal veel te veel geld, want dan mag je dat gewoon extra gaan betalen voor kenteken registratie of iedere keer dat je een app wil toevoegen.

Alle privacy-maatregelen van de afgelopen jaren kosten ook geld. Daar merk jij misschien niet zo veel van, maar de bedrijven des te meer. En veiligheid kost ook geld. Dat merk jij zelf ook als je het hang- en sluitwerk van je huis wilt verbeteren, bijvoorbeeld omdat de verzekering dat eist, of omdat je gewoon niet wilt dat er ingebroken wordt. En als je daarover al klaagt, dan geef je het geld toch eraan uit, en je zet ook je fiets goed op slot. Want jij wilt niet dat er ingebroken wordt, of dat je fiets weg is als je naar huis gaat.

Maakt concurrentie ook erg lastig doordat je niet zomaar even makkelijk kunt wisselen naar een nieuwe app.

Dat hoeft juist helemaal geen probleem te zijn. Als het via een centrale dienst (bijv de RDW) loopt, dan hoef je enkel de website, of de RDW app te openen, waarop jij geregistreerd bent als berijder van de auto, en akkoord te geven. Fluitje van een cent.

En internationaal kun je het helemaal vergeten.

Leuk als je dan in Spanje staat.

Dat is dan lastiger. Maar dat kan europees geregeld worden. En anders dan zul je op z'n moment iets meer moeite moeten doen. Misschien moet je dan een QR-code van je parkeer-app scannen of zo. Dat hoeft nog steeds niet heel erg lastig te zijn. Maar je kunt dan niet meer zó doorrijden. Helaas. Dat zijn dan de (geringe) kosten die je betaalt voor je veiligheid en privacy, en die van alle andere mensen.

supersnathan94 @RJG-223 • 26 september 2022 17:30

Maar je vergeet nu 1 ding.

Je moet vast leggen wie de berijder/eigenaar is inclusief identiteit.

We gaan nu dus een kleinschalig privacy issue oplossen met een heel groot mogelijk privacyprobleem.

Ik ben er al niet heel happig op dat een verhuurder mijn gegevens vastlegd, maar dat ie dat ook nog gaat delen met allerlei mogelijk vage apps en daar dus een API voor beschikbaar stelt ben ik helemáál niet happig op.

Besef je wel dat je oplossing voor een klein privacy issue (waar je ook maar net moet weten van wie de wagen is en doelgericht te werk gaan) met een aanvalsvector voor alle persoonsgegevens van alle automobilisten.

RJG-223 @supersnathan94 • 26 september 2022 18:04

Je moet vast leggen wie de berijder/eigenaar is inclusief identiteit.

De RDW weet in ieder geval al wie de eigenaar is. En het lijkt me geen probleem om ook de vaste berijder daarbij te registreren. En als je anoniem wilt blijven als berijder, dan moet je je ook niet bij een parkeer-app met je kenteken willen registreren. De veiligheid van de systemen van die apps sla ik beslist lager aan dan van de RDW. Zo'n app is misschien door een stel snelle jongens in elkaar gezet, die veiligheid als een kostenpost zien, die ten koste gaat van de winst. En je weet nooit welk bedrijf (google ? Microsoft ? Een chinees bedrijf ?) uiteindelijk die parkeer-apps over gaat nemen.

We gaan nu dus een kleinschalig privacy issue oplossen met een heel groot mogelijk privacyprobleem.

Integendeel. We gaan een groot en blijkbaar onbeheersbaar privacy-probleem oplossen met een beheersbare organisatie, die aan allerlei privacyregels onderworpen is.

En als jij dit geen groot probleem vindt, wacht dan maar eens tot je ruzie hebt met je ex, of met een ex-zakenrelatie die ook criminele contacten heeft, of zoiets.

Ik ben er al niet heel happig op dat een verhuurder mijn gegevens vastlegd

Wat heeft dat er mee te maken ? Natuurlijk wil een verhuurder weten aan wie hij z'n auto verhuurt. Als je dat niet wilt, moet je geen auto huren.

De verhuurder moet natuurlijk die gegevens dan niet delen met willekeurige derde partijen. En dat mag ook niet zo maar. Dus dat probleem is er niet.

Overigens snap ik niet dat jij zo enorm gesteld bent op jouw eigen privacy, maar dat je het privacy-probleem van andere mensen afdoet met de omschrijving 'een kleinschalig privacy issue'

maar dat ie dat ook nog gaat delen met allerlei mogelijk vage apps en daar dus een API voor beschikbaar stelt ben ik helemáál niet happig op.

Je verzint er allemaal dingen bij die niemand gezegd heeft, en die helemaal niet nodig zijn. Als jij dat niet wilt, dan moet je niet automatsich app-parkeren met een gehuurde auto. Niemand zegt dat de verhuurder gegevens moet delen. Alleen als jij met je auto automatisch wilt app-parkeren (dwz: betalen doordat jouw kenteken gescand is, en gekoppeld aan jouw app, zonder een kaartje te trekken of jouw app bij de ingang te scannen), dan zal de verhuurder toestemming moeten geven dat zijn kenteken tijdelijk aan jouw app gekoppeld wordt.

Besef je wel dat je oplossing voor een klein privacy issue (waar je ook maar net moet weten van wie de wagen is en doelgericht te werk gaan) met een aanvalsvector voor alle persoonsgegevens van alle automobilisten.

Die gegevens zijn er toch al, bij de RDW. En bij de belastingdienst, en bij de lease-maatschappijen. En normaals: ik vind het vreemd dat jij jouw eigen privacy blijkbaar hoger waardeert dan de privacy van andere mensen. Wees AUB consequent.

supersnathan94 @RJG-223 • 26 september 2022 19:08

Nee nee nee. Die gegevens zijn helemaal niet bekend. Niemand anders dan mijn bedrijf, belastingdienst en leasemaatschappij weet welke auto ik rijd. Zeker niet het RDW.

En als je anoniem wilt blijven als berijder, dan moet je je ook niet bij een parkeer-app met je kenteken willen registreren. De veiligheid van de systemen van die apps sla ik beslist lager aan dan van de RDW.

Ik ook, en daarom moeten we die dus vooral geen ingang geven tot de complete registratie die de RDW dan zou hebben.

Ik heb mijn registraties gewoon gedaan onder een alias, want dat kan ik zelf gewoon kiezen. Via een koppeling met de RDW niet.

Die gegevens zijn er toch al, bij de RDW. En bij de belastingdienst, en bij de lease-maatschappijen. En normaals: ik vind het vreemd dat jij jouw eigen privacy blijkbaar hoger waardeert dan de privacy van andere mensen.

Nee nee. Ik waardeer IEDEREEN zijn privacy hoger dan die van een paar mensen. Mensen die moedwillig getarget worden.

Daar moeten we geen miljarden aan belastinggelden aan gaan besteden. Zonde.

Dennisdn @RJG-223 • 26 september 2022 18:00

Ik zie een hoop belastinggeld verdampen, een hele hele hoop. Ik zie de RDW voorbij komen, ik zie koppelingen met appmakers voorbij komen… enig idee wat een IT-projectje bij de overheid doet? Ik zie vooral heel veel kans op heel veel problemen.

Om welk probleem op te lossen? Een probleem wat er alleen hypothetisch is. Als iemand je echt wilt volgen koopt ie voor een paar tientjes wel een tracker bij de dichtstbijzijnde spyshop.

PomPomPom @starfight • 26 september 2022 17:24

Dat is allemaal paard achter de wagen spannen.

Waarom zou je je ergens voor in moeten schrijven om parkeren te betalen? Daar gaat het mis.
Bv in Kroatie kan iedereen, huuroauto, leenauto of eigen auto parkeren en betalen per sms. Geen inschrijving nodig en er gaat ook geen andere info dan gebied + kenteken + duur naar de parkeer-ruimte-boer (dat zal de gemeente zijn) en al helemaal niet naar een appbouwer of reclameboer.

Voor wie leenauto of huurauto rijdt is zo'n parkeerapp nutteloos, voor overige bestuurders is het een privacy-risico.

OruBLMsFrl @b12e • 26 september 2022 15:12

Dat is de pijn met de praktijk van huurauto's en lease auto's, je krijgt daar allemaal uitdagingen in administratie om zoiets te checken. Wordt iets ergens niet bijgewerkt, dan kun je niet meer fatsoenlijk parkeren.

Ik snap de parkeer app bedrijven wel qua noodzaak om dit laagdrempelig te houden, een centraal register en snelle updates bij huurauto's is niet van één marktpartij, dat moet je centraal organiseren. Maar dan heb je voertuig privacy zorgen op dat niveau wel weer.

barbarbar @b12e • 26 september 2022 16:11

Snellere en simpelere oplossing zou denk ik zijn om een livefeed van de smartphone camera te gebruiken om het kenteken daadwerkelijk te zien, net zoals banken doen met nieuwe accounts om gezicht en paspoort te controleren. Bij vermoedens van misbruik vragen om de controle te herhalen, bijvoorbeeld als de telefoon niet op dezelfde locatie als de parkeergarage is geweest of als het kenteken een tijdje niet actief is geweest binnen de app. Het zal niet alle mogelijkheden voorkomen, maar je beperkt dan wel de mensen die mogelijk toegang hebben tot jouw auto. De rest los je op door identificatie van elk account, bijvoorbeeld met betaalgegevens. Als je dan toch onverhoopt bent gevolgd, kan de politie eenvoudig nagaan wie jouw kenteken heeft gevolgd.

[Reactie gewijzigd door barbarbar op 26 juli 2024 18:54]

gfgw @b12e • 26 september 2022 17:22

Bijvoorbeeld een koppeling tussen naam op de betaalpas/bankrekening x naam op het kentekenbewijs zou dit soort dingen kunnen vermijden.

Ik heb liever niet dat zo'n app bij mijn bankgegevens of kentekengegevens kan.
Wat is er mis met in de app aangeven in welke zone een parkeersessie gestart en weer gestopt moet worden? Afrekenen gebeurt daarna ook automatisch.

VittunWasted @ETH0.1 • 26 september 2022 16:09

Super handige functie voor een stalker. Als hij het kenteken van zijn ex weet dan krijgt hij een pushmelding als zijn ex ergens parkeert en kan hij haar super gemakkelijk volgen.

Idd. En terwijl we ons hier druk over maken, vergeten we ook nog eens hoeveel data die app uitbaters over ons verzamelen. Sommige van die parkeerapps houden al je bewegingen bij, want je zou eens ergens langs de kant van de weg parkeren in een betalende zone enz...

Heel die zooi verbieden en gewoon weer aan een automaat gaan betalen. Kan er niet gevolgd worden en is dit soort misbruik ook ineens niet meer aan de orde.

bbc @ETH0.1 • 26 september 2022 17:12

Super handige functie voor een stalker. Als hij het kenteken van zijn ex weet dan krijgt hij een pushmelding als zijn ex ergens parkeert en kan hij haar super gemakkelijk volgen.

erg kwalijk en gevaarlijk deze functie, ik ben benieuwd wat de privacy waakhond hier van vind

Je zou kunnen werken met de inschrijvingsdatum alvorens een app toe te laten het voertuig toe te voegen. Een beetje het systeem dat ze gebruiken om voertuigen te checken voor een LEZ.
https://lez.antwerpen.be/?Taal=NL

In het geval van een ex is die datum misschien nog wel te achterhalen.

Kiwi_Kevin @rutje1 • 26 september 2022 14:55

Dit heb ik ook al meegemaakt met een oud kenteken: Parkmobile ANPR privacy issue

cracking cloud 26 september 2022 14:47

Beetje vergelijkbaar met iets wat Troy Hunt in 2011 al meldde: https://www.troyhunt.com/find-my-car-find-your-car-find/

Steynno 26 september 2022 13:06

Als ik het wel heb gebruikt Flitsmeister ook een integratie met 4411 voor het parkeren. Betekent dit dat ook gebruikers van Flitsmeister kwetsbaar zijn?

webraiderweb @Steynno • 26 september 2022 13:08

Ook al gebruik je totaal geen app, ben je kwetsbaar. Ik vul namelijk jou nummerplaat in, in mijn eigen parkeerapp en kan al je parkeer-sessies (en locatie) volgen op basis van je nummerplaat.

MischaBoender @webraiderweb • 26 september 2022 14:01

Een aanvaller parkeert in dat geval wel op naam en kenteken van het slachtoffer. Dat betekent dat hij ook betaalt voor de parkeersessie.

Ik moet binnenkort op Schiphol parkeren, zou je mij willen volgen op basis van mijn kenteken?

Steynno @webraiderweb • 26 september 2022 13:10

Ah, maar natuurlijk..

Polydeukes @webraiderweb • 26 september 2022 15:41

En het kan daarnaast ook onbedoeld gebeuren: bijv wanneer je auto verkocht/ingeruild is, maar nog steeds in je app geregistreerd staat. Kun je mooi zien waar de nieuwe eigenaar van jouw oude auto parkeert (en als je pecht hebt, betaal je ook voor hem/haar/hen).

barbarbar @Steynno • 26 september 2022 16:14

In principe is iedereen kwetsbaar. Als je een partij bent met camera's op veel plekken, kun je sowieso mensen volgen aan de hand van kentekens. Denk aan allerlei ketens die door het hele land zitten bijvoorbeeld, maar parkeren is natuurlijk iets wat iedereen wel eens doet, zonder zelf voor de kentekenregistratie te kiezen.

Skit3000

26 september 2022 13:26

In Nederland is het mogelijk om (enigszins) de eigenaar van een voertuig te identificeren door naast een kenteken, ook het nummer van het kentekenbewijs te vragen en daarna te checken bij de RDW:

https://documentnummercontroleren.rdw.nl/geldig

Het enige is dat je niet je documentnummer in een parkeerapp in wilt vullen (wie weet wat daar mee gedaan kan worden als dat uit lekt), maar zou de RDW een authenticatie service op basis van die gegevens of door middel van DigiD aan moeten bieden als we willen dat parkeerplaatsaanbieders kunnen verifiëren dat een bepaalde kenteken bij een bepaalde persoon hoort. Dat laatste is wel een grote als; in principe hebben zij die informatie namelijk helemaal niet nodig (als men maar betaalt).

Qwubb @Skit3000 • 26 september 2022 14:20

In Nederland is het mogelijk om (enigszins) de eigenaar van een voertuig te identificeren

In welke mate identificeer je de eigenaar dan? Deze dienst geeft alleen maar een antwoord op de vraag of het kentekenbewijs geldig is (link). Dus "(enigszins)" = niet.

(Verder ontgaat me de relevantie bij dit bericht; je kunt hiermee immers al helemaal geen locatiegegevens achterhalen.)

Skit3000

@Qwubb • 26 september 2022 14:27

De relevantie is dat als parkeerapps zouden kunnen checken of de gebruiker ook de eigenaar van een voertuig is, niemand anders een tweede account kan maken en zichzelf óók als eigenaar voor kan doen (en daarmee toegang krijgt tot parkeertransacties zoals beschreven in dit artikel).

De dienst van de RDW controleert of het documentnummer geldig is in verband met het opgegeven kenteken. Aangezien het documentnummer van de kentekenkaart in principe alleen bekend is bij degene die fysiek toegang heeft tot de kentekenkaart (de eigenaar) kan je hiermee ook verifiëren dat de persoon die het kenteken in een parkeerapp gebruikt de eigenaar van het voertuig is (en niet een derde partij die enkel het kenteken in voert om na te gaan waar de auto zich bevindt).

Als Nederlandse parkeerapps bij de RDW controleren of de persoon die een kenteken invoert óók toegang heeft tot de bijbehorende kentekenkaart, kan de methode die Inti de Ceukelaire heeft gebruikt worden voorkomen omdat een buitenstaander dan nooit het kenteken aan haar eigen account toe kan voegen.

[Reactie gewijzigd door Skit3000 op 26 juli 2024 18:54]

mcDavid @Skit3000 • 26 september 2022 15:17

De vraag is echter in hoeverre het wenselijk is om een kenteken strikt te koppelen aan een persoon. Zo'n parkeerapp is ook nuttig als je een bedrijfswagen, deelauto of de auto van je ouders gebruikt. En andersom als jij een auto gehuurd/geleend hebt, gaat het de eigenaar nog steeds geen reet aan waar jij parkeert.

Het probleem is dus niet zozeer het ontbreken van controle op tenaamstelling, het probleem is dat apps als deze een vorm van kenteken-tracking doen waarvan je je af moet vragen of dat uberhaupt wel een goed idee is.

Skit3000

@mcDavid • 26 september 2022 15:40

De enige koppeling die de parkeerapp nodig heeft, is die tussen een kenteken en een betaalmethode. Of die nu op naam van een natuurlijk persoon of een bedrijf staat is verder niet relevant.

Het probleem is dus niet zozeer het ontbreken van controle op tenaamstelling, het probleem is dat apps als deze een vorm van kenteken-tracking doen waarvan je je af moet vragen of dat uberhaupt wel een goed idee is.

Ik denk dat het duidelijk is dat als je zelf ergens je kenteken invoert met als doel automatisch betalingen te kunnen doen, deze apps niet zonder je kenteken kunnen. Dat deze Belgische hacker dit uitbuit is een effect van het ontbreken van controle of degene die een kenteken ingeeft ook daadwerkelijk de eigenaar van dit kenteken is.

Qwubb @Skit3000 • 26 september 2022 15:15

Akkoord, dank voor je toelichting!

RJG-223 @Skit3000 • 26 september 2022 15:29

Als Nederlandse parkeerapps bij de RDW controleren of de persoon die een kenteken invoert óók toegang heeft tot de bijbehorende kentekenkaart, kan de methode die Inti de Ceukelaire heeft gebruikt worden voorkomen omdat een buitenstaander dan nooit het kenteken aan haar eigen account toe kan voegen.

Gedeeltelijk. Er moet dan nog steeds een manier zijn voor de kentekenhouder om na te gaan welke toestemmingen er gegeven zijn, en om een eenmaal gegeven toestemming weer in te trekken. Bijv. bij overname van een auto, of zo.

Skit3000

@RJG-223 • 26 september 2022 15:37

De nieuwe eigenaar krijgt een nieuwe kentekenkaart met een nieuwe documentcode.

Verder mee eens dat er een mogelijkheid moet zijn om je toestemming in te trekken, maar dit staat los van hoe je jezelf als eigenaar identificeert bij de parkeerapp (aangezien dit iets is wat de parkeerapp en niet de RDW moet faciliteren).

RJG-223 @Skit3000 • 26 september 2022 15:45

De nieuwe eigenaar krijgt een nieuwe kentekenkaart met een nieuwe documentcode.

Ja, maar dat maakt niet ineens alle registraties bij alle parkeerapps ongeldig. Die kijken alleen naar het kenteken, en dat verandert niet.

En als het om een ex gaat, of om bemoeizieke ouders, of iemand aan wie je je auto uitgeleend hebt, maar waarmee je nu ruzie hebt, dan verandert de eigenaar ook niet, maar dan wil je wel dat jouw kenteken niet meer gekoppeld is aan de parkeerapp van die andere persoon (welke app dat ook is, er het zijn er vele!)

Polydeukes @Skit3000 • 26 september 2022 15:45

Maar dan moet (bij verkoop van de auto) de app wel de gegevens "onthouden" en periodiek checken of het opgegeven kentekenkaartnummer nog actief is. Daarvoor moet je die gegevens opslaan en dat brengt weer risico's op datalekken met zich mee.

MischaBoender @Skit3000 • 26 september 2022 14:07

Zonder meteen mijn eigen gegevens in te voeren, wat doet die site precies? Daarmee kan ik controleren of een voertuig (kenteken) op iemands naam staat (nummer kentekenbewijs)? Is dat dan alleen een Ja/Nee resultaat, of geeft de site meer informatie?

jeroen79 @MischaBoender • 26 september 2022 14:25

Daarmee kun je controleren of het opgegeven kenteken en documentnummer bij elkaar horen.

https://i.imgur.com/PejGwvJ.png

Skit3000

@MischaBoender • 26 september 2022 14:24

Het geeft alleen een Ja/Nee resultaat op de vraag of het ingevoerde documentnummer (dat alleen bekend zou moeten zijn bij de eigenaar van het voertuig) behoort bij het opgegeven kenteken.

Andros @Skit3000 • 26 september 2022 14:15

Kentekens staan in België op naam van de eigenaar. Dit hoeft niet per se de bestuurder te zijn, veel wagens in België zijn bv van het werk, de bekende bedrijfswagens en die staan vaak op naam van de baas of een leasemaatschappij. Maar in tegenstelling tot in Nederland zit een kenteken niet vast aan de auto, je kunt een auto uitschrijven, een andere inschrijven en je nummerplaat gewoon meenemen.

Skit3000

@Andros • 26 september 2022 14:28

Daarom ook specifiek begonnen met "In Nederland".

Andros @Skit3000 • 26 september 2022 14:43

En het artikel gaat over apps in België

Skit3000

@Andros • 26 september 2022 14:48

In Nederland en België lukte dat met de parkeerapps van EasyPark, Q-Park, Indigo Neo, Interparking en APCOA.

En Nederland.

gaskabouter 26 september 2022 13:03

Ik begrijp het niet helemaal geloof ik. Je kan ieder willekeurig kenteken invullen. Maar wat haalt de tool nu op?

Je kan altijd in de app je locatie zien toch? Ook als je een andere auto toevoegt? Ik voeg regelmatig even een auto toe om te kunnen parkeren of die nou van mij is of niet. Da's meer een feature dan een bug?

Er wordt dan misbruik gemaakt van die functie maar de tool stuurt een push melding?

[Reactie gewijzigd door gaskabouter op 26 juli 2024 18:54]

niqck @gaskabouter • 26 september 2022 13:10

Er is geen validatie van de nummerplaat die ingegeven wordt. Dus als je een account aanmaakt en je geeft de nummerplaat van je buur in dan weet je telkens hij met zijn wagen een parking met nummerplaatherkenning binnenrijdt. Zo weet je waar die telkens is en vaak ook wat hij doet: ziekenhuis, centrum om 20u (pintje?) etc...
Je betaalt dan wel je buur zijn parkeertickets maar weet dus wel waar hij uithangt. Buur is 100km verder, eventjes een 'praatje' maken met de buurvrouw

Ik vermoed wel dat dit enkel werkt als je doelwit zelf nog geen account bij de de parkingapp heeft. Indien de nummerplaat reeds geregistreerd is zou je anders een conflict hebben. Maar er zijn meerdere van deze apps dus dat vergroot je kans wel.

P1nGu1n

@niqck • 26 september 2022 13:14

Ik vermoed wel dat dit enkel werkt als je doelwit zelf nog geen account bij de de parkingapp heeft. Indien de nummerplaat reeds geregistreerd is zou je anders een conflict hebben.

Volgens de onderzoeker wordt daar meestal niet op gecontroleerd. Je kenteken wordt dan zonder melding verwijderd uit jouw account:

quote: https://notmyplate.com/whitepaper/#paper-2.1.4.2
2.1.4.2. Blocking re-registration (plate hijacking)
Our research has shown that the majority of parking apps allow re-registration of license plate, even if the plate is already listed in the system. Without any notification or need for confirmation, the license plate would be disabled from the victim account and any future charges or notifications regarding the license plate would be sent to the attacker.

Some applications do prevent the re-usage of a license plate through their application. In that case, the customer service could possibly still re-assign it when contacted.

[Reactie gewijzigd door P1nGu1n op 26 juli 2024 18:54]

NLAnaconda @P1nGu1n • 26 september 2022 13:17

Our research has shown that the majority of parking apps allow re-registration of license plate

Dat moet ook wel. Anders kan ik jouw kenteken 'gijzelen' door hem vast te leggen in een app, waarna jij hem niet meer kan toevoegen.

Yoshi @NLAnaconda • 26 september 2022 13:34

er zijn wel degelijk apps waar dat niet zomaar gaat. dus dat "moet" niet, er dient wel een procedure te zijn om hier rond te gaan. (bij die van interpark kan je bv een nummerplaat die in het systeem staat niet opnieuw registreren).

NLAnaconda @Yoshi • 26 september 2022 13:51

Nouja, wat ik wil zeggen is dat je het ene issue oplost met een ander issue. Als ik jouw kenteken toevoeg in interpark, kun jij interpark nooit gebruiken.

Yoshi @NLAnaconda • 26 september 2022 14:11

jawel, ik contacteer interpark en doorloop de procedure. Voor zover ik daar nog zin in zou hebben

.

De vraag is vooral, kunnen we dit centraal oplossen (bv aanmelden met itsme - overheid)? Ik gok van niet want dan zou bv mijn vriendin mijn auto ook niet kunnen registeren terwijl dat idd wel net wenselijk zou zijn.

Efin, het is idd meer als enkel een controle uitvoeren via de overheid, want die weten ook niet alles. Die weten enkel wie betaalt voor die auto

. (om over verhuurbedrijven dan nog maar te zwijgen. ) Dus ik weet allesins niet of er een snelle oplossing voor dit probleem is

. Want documenten doorsturen naar een parkeerbedrijf om te bewijzen dat ik bestuurder ben van de auto (dat praktisch wel zou gaan) dat zie ik mijzelf ook niet doen

Geim @Yoshi • 26 september 2022 14:37

Doe hetzelfde als bij autoverzekeringen. Gebruik kenteken + meldcode (laatste 4 cijfers van je VIN) en laat dit door RDW matchen zoals ook de verzekeraars dat doen.

Rouwette @NLAnaconda • 26 september 2022 14:16

Of als de auto verkocht wordt.

Migrator @NLAnaconda • 26 september 2022 13:52

Maar deze situatie is niet beter; er moet om misbruik te voorkomen simpelweg een bewijs zijn dat jij de eigenaar bent van (de auto met) het kenteken dat je wil registreren.

Zoop @Migrator • 26 september 2022 14:00

En dat is het lastige dus, er is niet iets (dat verder geen publiekelijke informatie is) aan je auto dat centraal te controleren valt dat jij daadwerkelijk zeggenschap over die nummerplaat heb. Let wel, zeggenschap, niet eigenaarschap, want ik moet jouw auto toch kunnen lenen en gewoon kunnen betalen voor de parkeermeter.

Zou iets kunnen doen dat als de kenteken met de camera eropgezet word, dat je DAN alleen kan registreren (kan je nog steeds sjoemelen door een nep kenteken voor de camera te houden, maar is in ieder geval een flinke drempel meer).

Migrator @Zoop • 26 september 2022 14:11

Ja, in plaats van eigenaar had ik het beter over rechtmatige gebruiker kunnen hebben. Maar inderdaad, verificatie zal via een locatie met camera moeten, waarbij je een unieke code krijgt waarmee je de registratie kan bevestigen. Dat is natuurlijk wel flink meer werk voor de ontwikkelaars en uitbaters, wat verklaart waarom dat momenteel niet gebeurt.

AMS76 @Zoop • 26 september 2022 14:32

Misschien een scan/foto van het kentekenbewijs?

Zoop @AMS76 • 26 september 2022 14:40

Lijkt me kinderlijk simpel na te maken, alle informatie die daar staat en te controleren valt is publieke informatie en dus op te zoeken voor kwaadwillenden om een eigen nepvariant te maken. Het is in ieder geval een drempel meer, maar dat zal ook alleen werken als al die scans handmatig goedgekeurd worden door personeel, wat mij niet echt kosten/tijd efficient lijkt.

Bovendien heb je doorgaans je kentekenbewijs niet in de auto, zeker bij een geleende auto, geen idee waar dat ding dan is. En die heb je nodig als je je auto net op een nieuwe plek parkeert. Niet bepaald praktisch.

Zwaai Haai @Migrator • 26 september 2022 14:04

tja en dan die tijdelijke auto / huurauto / vervangende leaseauto moeten we dan ook nog wel wat voor verzinnen. Niet iedere rechtmatige bestuurder is eigenaar van de het voertuig.

PomPomPom @Migrator • 26 september 2022 17:34

Nee, om misbruik te voorkomen moet je niet meer informatie opslaan en rondsturen dan nodig.

Dus je betaalt voor kenteken x op plaats y.
Je kunt terugkijken naar alle betalingen (met lokatie en kenteken) die je zelf hebt gedaan.
Je kunt niet terugkijkn naar alle betalingen die gedaan zijn voor een bepaald kenteken.

Als je een garage in rijdt kun je net als elders bv een qr code scannen om te betalen. (Dat is iets minder smooth dan een pushbericht.)

JMS 450 @P1nGu1n • 26 september 2022 13:26

Ik heb de auto van mijn ouders ook in mijn pakeer app staan. Handig als ze langs komen. Dit verwijderde de auto niet uit hun app. Hoewel zij automatisch in en uit rijden hebben aan staan en ik enkel hun nummerplaat in mijn app heb staan werkt dit prima zonder dat zij er erg in hebben.

niqck @P1nGu1n • 26 september 2022 13:22

Bedankt voor de info. Dat maakt het inderdaad een nog groter privacy probleem dan het al is. Facturen/rekeningen die je niet ontvangt merk je niet zo snel op.

De oorspronkelijke account van nummerplaat zou op z'n minst een goedkeuring moeten geven alvorens deze aan een nieuwe account toegewezen wordt. Striktere validatie zou mogelijk kunnen zijn voor nieuwe accounts door informatie te linken aan informatie die bv bij DIV beschikbaar is maar ben zelf geen voorstander om privébedrijven nog meer toegang te geven tot persoonsgegevens.

webraiderweb @gaskabouter • 26 september 2022 13:10

Is ook niet echt een bug, eerder een privacy issue, omdat er geen verificatie zit op bij eigenaar van de nummerplaats.

Ik kan dus jou parkeersessie volgen als ik deze in mijn app toevoeg (is een leuke feature), maar niet als ik hiermee zonder jou medeweten ten alle tijden kan weten waar je gaat parkeren.

Rouwette @webraiderweb • 26 september 2022 14:24

Zeker een risico, stel inbreker wilt weten of je ver genoeg van huis bent om even binnen te gaan shoppen...

Riddle007 @gaskabouter • 26 september 2022 14:14

Enkele voorbeelden wat de onderzoeker aangaf in een interview op de radio:

Je hebt een aanvaring gehad met iemand in het verkeer (verkeersagressie), je denkt dat je ervan af bent maar die persoon heeft jouw nummerplaat ingegeven, je rijdt een ondergrondse parking binnen, een uur later kom je terug aan je wagen, staat de die persoon jou op te wachten aan je wagen om je ineen te kloppen of is je wagen beschadigd.
Dieven weten dat je kostbare spullen in je auto hebt liggen en hebben daarom je nummerplaat ingevoerd, die krijgen nu een notificatie als je parkeersessie begint en waar je wagen staat, als ze in de buurt zijn kunnen ze in je wagen inbreken (zeker als dit bv een parking aan een concertgebouw is en je dus waarschijnlijk enkele uren weg blijft).
Een dief ziet in de app dat je je wagen geparkeerd hebt aan de luchthaven en dan je dus waarschijnlijk op verlof bent...

Wozmro

@Riddle007 • 26 september 2022 18:05

Zeer vervelend.

Aan de andere kant: diegene die effectief misbruik maakt van dergelijke parkeerapps kan ook snel geïdentificeerd worden door de politie want de dader moet de parkeerrekening betalen en daarvoor zijn betaalgegevens opgeven in de parkeerapp op zijn eigen smartphone?

En beweren dat je er niets mee te maken hebt lijkt mij ook moeilijk.

Of heb ik het nu verkeerd voor?

Riddle007 @Wozmro • 26 september 2022 19:39

Of heb ik het nu verkeerd voor?

Ik vermoed van niet nee... Ze moeten dan wel de link leggen, en als dit niet gerapporteerd was weet ik niet of de slachtoffers of politie agenten zouden denken "eens kijken of iemand mijn nummerplaat in zijn parkeer-app heeft ingegeven"...

sfc1971 @gaskabouter • 26 september 2022 14:28

https://nos.nl/artikel/24...k-is-risico-voor-stalking

Dit artikel legt het wat beter uit voor het stalken door een ex.

JMS 450 @gaskabouter • 26 september 2022 13:16

Elke feature kan (in verkeerde handen) een bug zijn. Een tijdje terug een boete gekregen omdat mijn parkeer app een extra keer vroeg of ik zeker was dat ik wilde parkeren. Niet op zitten letten en idd niet betaald.

In dit geval kun je idd kentekens invoeren en als je dan automatisch betalen aanzet dan gaat de slagboom van een aangesloten garage open als je er in rijd. De transactie gaat dan via jouw account en dus weet je dat die persoon ergens is.
Zoals het artikel meld moet jij aan aanvaller wel de rekening oppakken maar dan weet je wel waar een persoon is.

Dit is dus meer iets wat je zou kunnen gebruiken als je het gemunt hebt op een specifiek persoon dan dat je een breed net uitgooit.

Even een brain fart, een oplossing zou kunnen zijn dat je een kenteken aan jouw account kan koppelen als eigenaar. Dan kan je als een soort 2 factor een melding krijgen als een ander jouw kenteken invoert.

this 26 september 2022 13:04

Ik vraag me af hoe ze dit gaan oplossen. Ik vind het nu wel makkelijk dat ik de app kan downloaden en meteen mijn nummerplaat kan invoeren. Ook als iemand anders de rekening op zich neemt (manager bijvoorbeeld), kan die persoon makkelijk met jouw nummerplaat de rekening betalen.
Als je hier een administratieve controle voor moet gaan doen, gaat het wel een stuk vervelender worden.

kodak

Hack
Privacy
Hackers

@this • 26 september 2022 14:28

Het lijkt me eerder niet alleen vervelend maar ook onwettig dat dit soort bedrijven maar zonder enige controle een kenteken laten gebruiken. De voorbeelden tonen dat het al snel zeer persoonlijke gegevens prijs geeft aan ieder die het niet aan gaat. Dan kan je administratie wel vervelend gaan noemen, maar dat klinkt toch eerder als de wereld op zijn kop.

Tjark 26 september 2022 14:36

Ook handig voor 't dievengilde: waar staat af en toe die exclusieve Ferrari/Lambo/Merc/Audi/BMW/etc.

x280 @Tjark • 26 september 2022 14:46

Goed dat je het verteld ! Je kan zie dus nu gewoon opsporen via parkmobile...

RoestVrijStaal 26 september 2022 13:07

Van de andere kant, als er meer dan twee à drie kentekens aan de app worden toegevoegd, zou er bij de ontwikkelaar ervan ook een belletje moeten afgaan.

Of die heeft nog niet nagedacht over zakelijke, gezins- en verzamelaars-abonnementen.

911GT2 @RoestVrijStaal • 26 september 2022 13:14

Ik vind 2 of 3 niet zo gek hoor. Ik heb 5 auto's dus de vraag is waar trek je de grens?

DonChaot @911GT2 • 26 september 2022 13:33

Je hoeft ze ook niet zelf te bezitten. Mijn werkgever werkt met poolauto's. Dan loopt het lijstje kentekens snel op als je daarvan gebruik maakt.

Blokker_1999

Hackers
Hack
Privacy

@RoestVrijStaal • 26 september 2022 13:45

fleetmanagers gaan je niet dankbaar zijn als je ineens limieten gaat instellen.

kodak

Hack
Privacy
Hackers

26 september 2022 14:32

Er zijn meerdere oplossingen gegeven om dit soort problemen te voorkomen. Wat ik alleen nog mis is dat je als gebruikers ook direct inzage hebt in wie er allemaal gebruik maakt van de gegevens. Er is nauwelikls tot niet duidelijk wie dat wanneer hebben en dat maakt het te makkelijk om dit soort ongewenst gebruik te voorkomen en stoppen.

Stijnvi 26 september 2022 18:29

Voor de personen die het probleem nog niet inzien:
- Een boze ex kan nu heel makkelijk de ander stalken en zien wanneer die bij bijvoorbeeld een winkelcentrum geparkeerd staat
- Een crimineel kan hiermee zien waar de auto van een advocaat, journalist of politicus staat, en dus waar die persoon zich bevindt
- Een dief kan nu precies zien waar de mooie auto's geparkeerd staan

Je hoeft maar één keer het kenteken van je doelwit te zien, je voert het in in de app, en je krijgt een melding wanneer de auto geparkeerd staat bij een garage die gekoppeld is met de app met nummerplaatherkenning
Dit is dus echt een heel kwalijk lek

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (153)

Sorteer op:

Weergave: