BNR mottok mer enn 80 gigabyte med plasseringsdata fra datahandlere – koordinatene til millioner av telefoner, ofte registrert dusinvis av ganger om dagen.

Det gigantiske fjellet av data inkluderer også bevegelser av mennesker med funksjoner der sikkerhet spiller en viktig rolle. En overordnet offiser kunne følges da han kjørte fra hjemmet sitt i Randstad til ulike militære lokasjoner rundt om i landet. Et reisemål han ofte besøkte var Frederikazerne, hovedkvarteret til Military Intelligence and Security Service (MIVD). Soldaten bekreftet ektheten av dataene til BNR per telefon.

Dataene avslører også hjemmeadressen til en som ofte besøker Vught Penitentiary, hvor terrorister og alvorlige kriminelle holdes. En talsperson for byrået for rettsinstitusjoner (DJI) bekreftet at personen, som tinglysingen sier bor på denne adressen, faktisk hadde tatt med seg en mobiltelefon inn i bygningen og sa at saken ble etterforsket.

Dette er bare eksempler, listen over potensielle mål er lang: Opptil 1200 telefoner i datasettet besøkte kontoret i Zoetermeer der det nasjonale politiet, den nasjonale påtalemyndigheten og Europol holder til. I kongens boligpalass, Huis ten Bosch, er opptil 70 telefoner registrert. Ved Volkel Air Base, et atomvåpenlager, ble det talt opp til 370 telefoner. Politiets ledelse sier de er klar over problemet og «ser internt for å se hvilke tiltak som er hensiktsmessige for å bekjempe det».

«Nasjonale sikkerhetsimplikasjoner»

BNR fikk datasettet inspisert av to eksperter. «Dette er en ekstrem sikkerhetsrisiko, med mulige nasjonale sikkerhetsimplikasjoner,» sier Ralph Moonen, Securas tekniske sjef. «Det er virkelig sjokkerende at dette kan skje slik,» sier Sjoerd van der Meulen, cybersikkerhetsspesialist hos DataExpert.

Teknologien som brukes til å spore mobiltelefoner er beregnet på annonsører, men er også egnet for andre formål, sier Paul Pols, en tidligere teknisk rådgiver for Evalueringskommisjonen for bruk av makt, som fører tilsyn med de hemmelige tjenestene. Ifølge Pols er det kjent at MIVD og AIVD også kjøper tilgang til denne typen data på datamarkedet under overskriften «åpne kilder». «Det som er slående med denne saken er at store mengder data fra nederlandske statsborgere lett kan nås,» sa cybersikkerhetseksperten.

Til salgs via online markedsplass i Berlin

Denne tilgangen ble oppnådd gjennom en online markedsplass basert i Berlin. På denne plattformen, Datarade.ai, tilbyr hundrevis av selskaper personopplysninger for salg. I tillegg til stedsdata er medisinsk informasjon og kredittscore også tilgjengelig.

Etter et tips fra en interessert part, svarte BNR på en annonse som tilbyr stedsdata for nederlandske brukere. En selger fra plattformen tok deretter kontakt med to mellomstore leverandører: Datastream Group fra Florida i USA og Factori.ai fra Singapore: begge selskapene har færre enn 50 ansatte, ifølge deres LinkedIn-sider.

Hør igjen | BNR Digital | EU vil at TU skal bli mer cybersikker med 1,1 milliarder euro

Datastream og Factori tilbyr lignende tjenester: et abonnement på mobiltelefonposisjonsdata i Nederland er tilgjengelig fra $2000 per måned. De som betaler mer kan motta oppdaterte data hver 24. time via skyen, kanskje til og med fra hele verden.

De fleste enheter på Datarade tilbyr gratis prøver av dataene sine, inkludert Factori og Datastream. På forespørsel ble en hel måned med historiske data fra nederlandske telefoner sendt til BNR. Disse dataene ble anonymisert: de inneholdt ikke telefonnumre. Individuelle telefoner kan fortsatt gjenkjennes av unike nummerkombinasjoner, a «Mobil annonserings-ID» som brukes av Apple og Google for å vise relevante annonser til individuelle brukere innenfor grensene av europeisk personvernlovgivning.

Kanskje fire millioner nederlandske ofre for sporing

Den nøyaktige opprinnelsen til dataene som utveksles på nettet er uklart. Ifølge leverandørene er dette apper som har fått tillatelse fra brukere til å bruke stedsdata. Dette inkluderer trenings- eller surfeapper som selger data. Slik havner dataene til slutt hos Factori og Datastream. Ved å kombinere data fra flere kilder skapes gigantiske filer.

Les også | De nordirske offiserene fikk panikk tilbake til en hemmelig tilværelse

I reklamemateriell hevder Datastream-gruppen å kunne spore nesten halvparten av alle nederlandske telefoner hver måned. Dette virker litt høyt. Eksempelfilene levert av Datastream inneholdt litt over fire millioner unike identifikatorer. Factoris filer inkluderer litt over en kvart million mobilannonserings-ID-er.

Ifølge Jaap-Henk Hoepman, førsteamanuensis i digital sikkerhet ved Radboud University, vil antallet telefoner bak dette være sammenlignbart. «Du kan manuelt tilbakestille en annonsør-ID som dette, men nesten ingen gjør det.» Dette betyr ikke nødvendigvis at fire millioner nederlendere faktisk ble sporet opp. Selgere kan ha lagt til falske data i filer for å kreve en høyere pris. Dataene inneholder også feil. For eksempel så det ut til at en rekke sporede personer hadde besøkt steder i dataene, men på andre tidspunkt enn angitt.

Likevel er det ikke vanskelig å gjenkjenne eierne av individuelle telefoner fra dataene. Ved å knytte senger til data fra offentlige registre, som grunnboken, og arbeidsplasser til LinkedIn-profiler, kunne BNR identifisere, i tillegg til hæroffiseren, en prosjektleder fra Alphen aan den Rijn og en amatørfotballdommer. Oppdagelsen om at han hadde blitt forfulgt digitalt i minst en måned utløste sjokkerte reaksjoner. «Bizarre» og: «Jeg slo umiddelbart av «posisjonsdatadeling» på telefonen min.»

Handel er forbudt, men myndighetene handler ikke

Datarade, Berlins datamarkedsplass, informerte BNR i en e-post om at tradere på plattformen deres er «fullt ansvarlige» for dataene de tilbyr. Ulovlig praksis kan rapporteres ved hjelp av et elektronisk skjema. Talspersonen for det tyske selskapet lar spørsmålet om det vil bli iverksatt tiltak mot salg av lokasjonsdata åpent.

Factori og Datastream svarte ikke på forespørsler om kommentarer. Disse selskapene erklærer på sine nettsider at de respekterer europeisk personvernlovgivning. Brukerne selv ville gi tillatelse til å dele dataene sine. Eksperter feier ryktet med denne uttalelsen. «Det virker klart for meg at dette er ulovlig,» sier Aline Klingenberg, professor i cyberrett ved Universitetet i Groningen. «Men ingen høyesterettsdommer har noen gang tatt stilling til dette.»

Les også | «Nederland er ledende innen datalekkasjer i Europa»

Ifølge Klingenberg kan personopplysninger kun videreselges dersom brukere gir «informert samtykke» og det er lite sannsynlig at brukere vet hvorfor de gjør det. Anouk Ruhaak, president for Dutch Data Protection Foundation (SDBN), kaller også den massive handelen med mobilposisjonsdata «fullstendig ulovlig.» «I alle fall er det ikke tillatt å beholde data lenger enn nødvendig,» sier Ruhaak. Factori og Datastream er begge basert utenfor Europa. Ifølge presidenten for SDBN er det også forbudt å lagre data til nederlandske statsborgere på denne måten.

«Dessverre begrenset av personvernlovgivning»

Ifølge Ruhaak blir det ikke iverksatt tiltak mot storstilte personvernbrudd fordi dette ikke er en politisk prioritet. «Det er et spørsmål om penger. Loven er nok, men den nederlandske datatilsynet har rett og slett ikke nok folk til å gjøre noe med alt.»

Cybersikkerhetsekspert Pols finner det «uforståelig» at utveksling av stedsdata kan foregå på en relativt åpen måte. «Dessverre er enhver borger begrenset av personvernlovgivningen. Hvis du ringer kundeservice, kan de ikke fortelle deg noe før du identifiserer deg selv grundig, men denne typen massive brudd kan fortsette.»

Svar fra rettsinstitusjonstjenesten

«Smarttelefoner er ikke tillatt inne i DJI-fasiliteter. Dette er strengt overvåket. DJI iverksetter ulike tiltak for å hindre import av telefoner. Besittelse av telefonen, for eksempel av en ansatt eller en offisiell besøkende, er kun tillatt med forhåndsgodkjenning fra ledelsen.

DJI har gjennomgått dataene og navnet til telefoneieren som er oppgitt og konkludert med at denne personen ikke er en innsatt eller ansatt i DJI. Denne personen var til stede i området til PI Vught med tillatelse fra ledelsen. Det ble også gitt tillatelse til å bære telefon. Denne personen har imidlertid ikke vært i EBI-bygget.

Sporing av personer og utveksling av stedsdata påvirker ikke bare DJI, men flere organisasjoner og institusjoner. DJI undersøker hvilke konsekvenser dette vil få for organisasjonen og hvilke tiltak som kan være nødvendige.»

Forsvarets reaksjon

«Forsvaret gir ingen uttalelser om ektheten til dataene av personvern- og sikkerhetsgrunner. Mobiltelefoner er blitt uunnværlige i dagens samfunn og ansatte kan ta dem med seg til brakkene. Det er tatt prosedyremessige og tekniske tiltak for å overvinne eventuelle risikoer. De ansatte får også opplæring i hvordan de skal håndtere denne situasjonen. Forsvaret vil ikke komme med ytterligere uttalelser om disse tilleggstiltakene.»

Respons datarade

«Som plattform fungerer vi kun som mellomledd. Vi selger ikke datasettene selv. Dataselgere kan tilby sine datasett for salg på vår plattform for å få kontakt med interesserte parter. Vi tillater selvfølgelig bare lovlig innhold på plattformen vår, som angitt i våre generelle vilkår og betingelser. […]

Datarade mener det er viktig at lovbrudd blir adressert. Hvis du, som rettighetshaver av visse data eller representant for en rettighetshaver, mener at rettighetene dine eller loven er krenket, ber vi deg vennligst rapportere det på nettet via vårt innholdsrapporteringsskjema.»