De in opspraak geraakte ‘Global Heatmap’ van de sport-app Strava is niet zo anoniem als het lijkt. Eerder werd al bekend dat de wereldkaart met de populairste fiets- en hardlooprondjes op de app de locatie van militaire bases op afgelegen plekken onthult. Een Britse blogger heeft nu ook ontdekt hoe je de identiteit van sporters op die bases kunt achterhalen. Strava zegt de privacy-instellingen te heroverwegen.

Ze activeren het om op hun telefoon of sporthorloges hun prestaties te meten. Hardlopers, fietsers en wandelaars maken graag gebruik van sportapp Strava. De 'Global Heatmap' gebruikt informatie van satellieten om de locatie en bewegingen van de gebruikers in kaart te brengen. Gebieden en routes waar activiteit is, worden op basis van de intensiteit meer of minder opgelicht. Wat opvalt is dat de Heatmap vooral gebruikt wordt in (West-)Europa, de Verenigde Staten, Canada, Japan, Australië, Brazilië en Zuid-Afrika. In bijvoorbeeld Noord-Korea, oorlogsgebieden en veel Afrikaanse landen is het op de kaart vrijwel donker.

Strava toont gevoelige informatie

Afgelopen weekend ontdekte de Australische student Nathan Ruser dat (geheime) militaire basises, waaronder ook Nederlandse, eenvoudig te vinden waren in de sportapp. Het lijkt erop dat sommige militairen de app zelfs tijdens patrouilles niet uitschakelen. Onder meer bases in Afghanistan (Kunduz, Kandahar) waar ook Nederlanders hebben gezeten, lichten op in de kaart.

De kaart is gepubliceerd in november vorig jaar, maar pas afgelopen weekend kwam aan het licht dat die ook gevoelige informatie bevat. Hoewel de Heatmap tot stand kwam met geanonimiseerde gegevens van alle Strava-gebruikers, kon een andere blogger na een beetje puzzelen zien welke personen weleens een rondje over militaire bases rennen of fietsen. Sporters kunnen een route, oftewel segment, uploaden waarop ze hun hardloop- of fietstijden vergelijken met die van andere gebruikers van de app. Met behulp van GPS maakt Strava automatisch een ranglijst aan van snelste wielrenners of hardlopers op dat traject.

Ranglijst: wie is de snelste hardloper?

De blogger, Steve Loughran, speurde de Heatmap af op zoek naar een hardlooprondje dat hoogstwaarschijnlijk op een militaire basis is blootgelegd. Vervolgens tekende hij die route uit op de site MapMyRide, waarna hij de GPS-data van het rondje downloadde. Die voerde hij in op Strava alsof hij er zelf had gerend, en maakte er een segment van. Na een dag maakte de app een ranglijst met Strava-gebruikers die de route het snelst hadden afgelegd, vaak met hun eigen naam.

Op de kaart is bijvoorbeeld te zien hoe een vermoedelijk Nederlandse soldaat afgelopen donderdag 4,1 kilometer hardliep op kamp Castor in Gao, Mali. Daar zijn op dit moment Nederlandse militairen actief als onderdeel van een VN-missie. Op het Stravaprofiel van de gebruiker staat zijn woonplaats aangegeven en zijn er routes van hem te vinden in de plaats. Zo kan zijn definitieve adres worden herleid, aldus De Volkskrant.

Van de OV-reisplanner tot aan het weerbericht: pas op met wat je deelt

Defensie heeft Nederlandse militairen inmiddels gewaarschuwd. In NRC zegt een woordvoerder dat het ministerie onderzoek doet naar de veiligheidsrisico’s voor militairen.

Onderzoeksjournalist Brenno de Winter zegt dat mensen vaak geen idee hebben wat ze allemaal delen met de virtuele wereld. “Mensen delen hun locatie om een functionaliteit van een app te krijgen, maar weten niet wat er met die informatie wordt gedaan. Het gaat dan ook om apps als de OV-reisplanner, Buienradar en apps van de gemeente.”

Bijna de helft van Nederlandse hardlopers gebruikt sportapp

Volgens onderzoeksbureau Multiscope gebruikt bijna de helt van de Nederlandse hardlopers (46) een app tijdens het sporten. Een kwart van de wielrenners gebruikt apps en een op de tien wandelaars gaat erop uit met een app. De populariteit van apps tijdens het sporten komt ook deels door de mogelijkheid de resultaten te delen. Het delen van sportprestaties is populairder onder mannen (20 procent) dan onder vrouwen (12 procent). Het delen van foto's en routekaartjes is het meest populair.

De Winter raadt aan om goed na te denken voordat je toestemming geeft aan een app. “Weiger het ook”, aldus De Winter. “Ook als dat betekent dat een app niet volledig functioneert. Is het noodzakelijk om aan een krant te laten weten waar je precies bent? Volgens mij niet.”

Strava heroverweegt privacy-instellingen

In een blog zegt Strava-CEO James Quarles dat het bedrijf zijn privacyinstellingen gaat overwegen. Strava wijst in een statement op de eigen verantwoordelijkheid van gebruikers van de app en vraagt mensen de website nog eens nauwkeurig te bestuderen, zodat zij de privacyinstellingen goed begrijpen. Ook zal Strava het bewustzijn bij gebruikers gaan vergroten als het gaat om veiligheid en privacy.