Hoe soldaten zichzelf soms online in de voet schieten door (onbedoeld) data te delen van geheime locaties
Cybersecurity draait niet alleen rond bescherming tegen hackers die computersystemen willen binnendringen. Ook onbedoeld kun je data lekken op sociale media. Dat bewees een twitteraar vorige week nog. Op basis van de sterrenhemel op de foto van de nieuwste bommenwerper van de Verenigde Staten, kon hij de exacte locatie ervan achterhalen. Ook in andere gevallen werd gevoelige militaire informatie onbedoeld gedeeld, van nucleaire installaties tot een foto die leidde tot een raketaanval. Vier straffe verhalen.Ā
1. Locatie van nieuwe stealth-bommenwerper
Op 3 december onthulde de luchtmacht van de Verenigde Staten hun nieuwe stealthbommenwerper, de B-21 Raider. De onthulling gebeurde op de luchthaven van Palmdale, in Californiƫ, naast een hangar van luchtvaartfabrikant Northrop Grumman, die dit vliegtuig ontwikkelde.
Ook op de website van de luchtmacht werd dit aangekondigd, met bovenaan twee fotoās van een van de zes exemplaren die momenteel in productie zijn.
Aangezien op een van deze fotoās een heldere sterrenhemel te zien was, vroeg een nieuwsgierige twitteraar zich af of hij aan de hand hiervan de locatie van deze hangar kon vinden, en of dit dezelfde plaats was als waar het vliegtuig ontwikkeld en aangekondigd was.
Door de foto te uploaden naar een website die sterrenbeelden herkent, kon hij de positie van de Poolster (in het sterrenbeeld Kleine Beer) vinden. Hoe dichter bij het Noorden, hoe hoger de Poolster staat, dus uit de hoogte van de Poolster kon hij de breedtegraad afleiden (de positie in noord-zuidrichting).
In de metadata van de foto staat ook de tijdzone vermeld waarin de foto bewerkt werd: dit was de tijdzone die onder andere in Californiƫ gebruikt wordt.
Informatie uit schijnbaar onbelangrijk detail
Vervolgens zocht hij luchtmachtbasissen in CaliforniĆ« die in de buurt lagen van die breedtegraad, en vond zo een kleine luchthaven in Palmdale waar Northrop Grumman eerder al de B-2 bommenwerper ontwikkeld had, de voorloper van het nieuwe toestel.Ā
Dit was dezelfde luchthaven waar enkele dagen na het nemen van de foto ook daadwerkelijk de publieke aankondiging plaatsvond.
Hoewel de locatie in dit geval ook publiek bekend werd gemaakt, illustreert het wel hoe er ongepland informatie kan uitlekken door een schijnbaar onbelangrijk detail op de achtergrond.
2. Poseren voor het adres van het hoofdkwartier leidt tot bombardement
Maar je hebt niet altijd astronomische kennis nodig om te achterhalen waar een basis zich bevindt. De Russische oorlogscorrespondent Sergei Sreda was begin augustus dit jaar op bezoek bij een basis in de OekraĆÆense regio Lugansk die door het Russische huurlingenleger Wagner Group gebruikt werd.
Op een van de fotoās die hij op Telegram publiceerde van dat bezoek, zie je hem de hand schudden van het hoofd van de Wagner Group, Yevgeny Prigozhin, die op dat moment dus ook aanwezig was.
Op twee andere fotoās waarop Sreda poseerde voor het hoofdkwartier, was op de achtergrond een bord te zien met daarop het exacte adres van het gebouw, Mironovskaya 12, Popasna.
Enkele dagen later werd het gebouw door een OekraĆÆense raket vernietigd.
3. Studerende militairen delen (onbedoeld) nucleaire informatie
Niet alleen via fotoās kan er onbedoeld informatie lekken. Ook het gebruiken van apps houdt het risico in dat er per ongeluk informatie gedeeld wordt met de wereld.
Vorig jaar bleek dat Amerikaanse militairen die leerden omgaan met kernwapens, online software gebruikten die hen hielp studeren via digitale steekkaartjes met vragen en antwoorden.
Vele van die steekkaarten die ze hiervoor gebruikten waren echter publiek zichtbaar. Door te googlen op de namen van Europese luchtmachtbasissen in combinatie met relevante trefwoorden doken zo links op naar deze steekkaarten.
Het onderzoekscollectief Bellingcat vond zo de positie van bewakingscameraās, veiligheidsprotocollen, hoeveel van de opslagplaatsen kernwapens bevatten, codewoorden en meer.Ā Ook de Belgische basis in Kleine Brogel en de Nederlandse in Volkel kwamen voor in deze steekkaarten.
4. Loopapps lekken locaties van basissen en thuisadressen
Ook via de fitnessapps Strava en Polar is in het verleden al militair gevoelige informatie uitgelekt.
Begin 2018 ontdekte The Washington Post dat de Global Heat map, een kaart waarop de drukste looproutes in Strava weergegeven worden, en die enkele maanden tevoren gepubliceerd werd, gebruikt kon worden om de locaties en wegenplannen van Amerikaanse militaire basissen te vinden.
Personeel van die basissen vergat geregeld de app uit te zetten wanneer ze in de basis rondliepen. Door hotspots op afgelegen plekken te bekijken konden minder bekende basissen gevonden worden.
Joggende Nederlandse militairen
Een aantal maanden later werd een andere fitnessapp, Polar, gebruikt om de naam en woonplaats te achterhalen van Nederlandse soldaten die op missie waren in Irak. Dat onderzochten journalisten van De Correspondent en Bellingcat. Van Nederlandse soldaten die actief waren op een basis kon opgezocht worden dat veel van hun looproutes begonnen of eindigden bij bepaalde huizen in Nederland. In combinatie met wat extra online opzoekwerk kon vervolgens bevestigd worden welke hiervan hun thuisadres was.
Ook de namen en adressen van personeel van verschillende inlichtingendiensten of personeel van nucleaire installaties konden op deze manier ontdekt worden.
