https://tweakers.net/nieu(...)via-parkeerapps.html
Een hacker heeft een manier ontdekt om de locatie van kentekens te achterhalen via parkeerapps. Inti de Ceukelaire ontdekte dat hij nummerplaten van anderen kon toevoegen aan die apps. Hij bouwde een tooltje dat pushmeldingen stuurt als dat kenteken door een camera werd gescand.
Inti de Ceukelaire riep de afgelopen weken de hulp in van 120 vrijwilligers die ermee akkoord gingen hun kenteken te laten volgen. Het lukte hem om van bijna een derde daarvan de locatie te achterhalen. Dat lukte via parkeerapplicaties zoals 4411 en Indigo Neo, die vooral in Vlaanderen en Wallonië populair zijn. 4411 werkt ook in Nederland. In die apps is het mogelijk automatische betalingen te doen op basis van een kenteken. Gebruikers voeren hun kenteken in en koppelen daar hun bankrekeningnummer aan. Als ze een garage inrijden met nummerplaatherkenning, wordt er automatisch afgerekend, schrijft hij op een voor het project opgerichte website.
De Ceukelaire zag dat die apps niet verifiëren of een kenteken aan iemand toebehoort. Daardoor is het mogelijk ieder kenteken in de apps in te voeren. Als een auto-eigenaar daarna parkeert, kan hij dat terugzien in de app. De Ceukelaire zegt dat hij van 26,5 procent van de deelnemers binnen honderd dagen hun locaties kon achterhalen. In Nederland en België lukte dat met de parkeerapps van EasyPark, Q-Park, Indigo Neo, Interparking en APCOA.
Een aanvaller parkeert in dat geval wel op naam en kenteken van het slachtoffer. Dat betekent dat hij ook betaalt voor de parkeersessie. De Ceukelaire zegt hij in totaal 273,85 euro uitgaf aan parkeertickets. Een gemiddelde aanval kostte daarmee 7,82 euro.
nummerplaten Inti de Ceukelaire
De Ceukelaire ontdekte daarnaast een tweede methode om ook parkeersessies te onderscheppen op de openbare weg. Dat gebeurde bij parkeerplaatsen langs de weg waar automobilisten een beperkte tijd gratis mogen parkeren op basis van hun kenteken. Dat wordt niet via ANPR-camera's doorgegeven, maar door de autorijder zelf via een parkeermeter langs de straat. Dat kan vaak maximaal een of een beperkt aantal keren per dag. De Ceukelaire bouwde een tool die bij parkeerapp 4411 probeerde een bepaald kenteken ergens aan te melden voor die ene keer gratis parkeren. Als zo'n sessie die dag al eens was ingezet, ontstond er een foutmelding. Op basis daarvan kan een hacker met terugwerkende kracht achterhalen waar iemand heeft geparkeerd.
Volgens De Ceukelaire zijn er in West-Europa ruim 4000 locaties waar mogelijk wordt gescand op kenteken. De ethisch hacker, waar Tweakers eerder dit jaar een interview mee hield, zegt dat parkeerapps 'een onschatbare bron van informatie prijsgeven over bestuurders'. "Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen", schrijft hij. "Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen. Hoe meer momentopnames het systeem kan onderscheppen, hoe groter de kans om te achterhalen wie de bestuurder is.
——
Dus ook als je zelf geen parkeer app hebt en je parkeert op een plek waar ze je kenteken scannen dan ben je te traceren
Dat is privacy technisch een behoorlijk groot probleem
Ik snap ook niet waarom je dat moet kunnen inzien eigenlijk. Als je op straat parkeert kan je ook een ander kenteken invoeren, maar dan zie je niet in één keer de parkeergeschiedenis van dat kenteken. Houd de historie gewoon gescheiden op account.quote:Op maandag 26 september 2022 13:57 schreef SnodeSnuiter het volgende:
Dus ook als je zelf geen parkeer app hebt en je parkeert op een plek waar ze je kenteken scannen dan ben je te traceren
Dat is privacy technisch een behoorlijk groot probleem
Dan nog steeds, als ik het systeem niet gebruik en een stalker registreert mijn kenteken en ik parkeer ergens dan krijgt mijn stalker een push melding van waar ik op dat moment benquote:Op maandag 26 september 2022 14:04 schreef Heph844 het volgende:
[..]
Ik snap ook niet waarom je dat moet kunnen inzien eigenlijk. Als je op straat parkeert kan je ook een ander kenteken invoeren, maar dan zie je niet in één keer de parkeergeschiedenis van dat kenteken. Houd de historie gewoon gescheiden op account.
Niet als je het gescheiden houdt per account.quote:
[..]
Dan nog steeds, als ik het systeem niet gebruik en een stalker registreert mijn kenteken en ik parkeer ergens dan krijgt mijn stalker een push melding van waar ik op dat moment ben
Bijvoorbeeld, jij hebt het kenteken 12-ABC-3. Ik kan dat kenteken invoeren in mijn app van Parkmobile en zo voor jou een parkeeractie betalen. Dus ik vul in dat ik voor 12-ABC-3 wil betalen, die in het centrum van Rotterdam staat en ik druk op akkoord.
Ik zie dan in mijn account alleen die ene parkeeractie. Ik zie niet dat jouw auto eigenlijk in Enschede staat. Waarom is dat bij parkeergarages dan wel gekoppeld?
[ Bericht 1% gewijzigd door #ANONIEM op 26-09-2022 14:09:22 ]
Dus als jij een vreemd kenteken op jouw Account zet kun je 't volgen, en krijg je de facturen van het parkeren? (en de duur/plaats op factuur etc, én een notificatie in de App bij het parkeren (of na afloop?)
hahaha
Lekker boeiend zo'n "hack" die alleen in een theoretisch scenario werkt: in de praktijk valt het snel genoeg op als je nooit een factuur krijgt voor je parkeren of je je kenteken niet kan aanmelden in een straat.
Dit verklaart alles.quote:Op maandag 26 september 2022 14:38 schreef Nielsch het volgende:
zoiets kan ik ook op FOK!, dan voer ik bij de inlog de naam van een andere user in en dan kan ik onder zijn/haar naam posten.
Zonder dat je het wachtwoord weet?quote:
zoiets kan ik ook op FOK!, dan voer ik bij de inlog de naam van een andere user in en dan kan ik onder zijn/haar naam posten.
Ik gebruik altijd gewoon m'n eigen wachtwoord. Werkt voor iedere user.quote:
[..]
Zonder dat je het wachtwoord weet?
Er zijn hier zat mensen die dat doen. Kloontjes noemen ze dat.quote:
zoiets kan ik ook op FOK!, dan voer ik bij de inlog de naam van een andere user in en dan kan ik onder zijn/haar naam posten.