Alternative titles:

• Study shows parking apps to expose your location: here is how you can prevent being tracked
• A quarter of all vehicles are easily proven to be trackable thanks to… parking apps
• ANPR cameras expose vehicle locations to the public, privacy experiment shows
• New stalkerware tool allows vehicles to be tracked: “Up to 29% of test subjects tracked within 100 days”
• Ethical hacker warns: parking camera’s expose your location. Here’s what you can do.

In recent years, automatic license plate recognition (ANPR) has found its way from law and road-rule enforcement to parking applications. The pandemic has accelerated the rise of contactless solutions and the parking industry is no exception: “More than 3.000 parking locations have implemented ticketless entry based on license plate recognition in the past three years”, says ethical hacker Inti De Ceukelaire, “while these systems are convenient, they inadvertently expose your location details to anyone that is willing to pay your parking fee”, the Belgian security researcher concludes after running a wide scale car tracking experiment.

Between June and August this year, De Ceukelaire attempted to track down 120 vehicle owners that agreed to participate in the experiment. Over a period of 100 days, De Ceukelaire managed to pinpoint the live location of slightly over 29% of all participants solely by using widely used parking applications. By registering their license plate and linking his payment details, he was able to automatically intercept toll- parking sessions once a tracked vehicle enters ANPR-enabled premises. “With an average cost of €7,82 per successfully located vehicle, this technique is extremely accessible and costs only a fraction of other tracking techniques, such as hiring a private investigator”, De Ceukelaire explains.

The problem does not limit itself to off-street parking facilities, as the study also outlines a tracking method that works in areas that offer free limited street parking. De Ceukelaire built a tool that periodically connects to thousands of digital parking meters to start a one-second parking session for the target’s license plate in areas that offer free limited parking. If the system fails to open a free parking session because a license plate already ran out of free parking time for that day in that area, the tool operator receives a notification with the area where the vehicle was spotted. While De Ceukelaire does not plan to release his stalkerware tool to the public anytime soon, he warns that others can easily replicate the idea if no prompt action is taken on a European scale:

“We have identified more than a million trackable parking spots across Europe, and expect the number to ramp up quickly in the months and years to come. With ANPR-based payment also finding its way to toll roads such as Ireland’s M50 and England’s M6, free movement will become increasingly harder without the risk of being tracked. During our experiment, we were able to track down a Belgian citizen more than 1,000 kilometers away from their home, near the Spanish border. Parking operators like APCOA, Q-Park and Indigo have a presence in multiple countries which makes it easier to track across borders. Convenience should never come at the cost of our privacy. European legislators need to enforce privacy regulations on parking operators and ensure users can opt-out of their license plates being processed.”

In an effort to speed up the legislative process, De Ceukelaire teamed up with privacy lawyers to create notmyplate.com, a website that enables users to ask parking operators not to process their license plate. “While we cannot ensure that parking operators will comply with these requests, we are confident that it will send a strong message to parking operators that society is in need of privacy-first parking solutions. One precaution they could implement is to ensure that license plates cannot be re-registered into the system without approval of the original owner. Out of the 12 applications we tested, only one (Interparking) limited this form of license plate hijacking.”

Frequently asked questions

Is it also possible to locate users that do not use parking applications

Yes, everyone with a license plate can be located if they enter a premise using ANPR-based auto-payment, even if they only use parking tickets. Individuals that already use ANPR-based ticketing themselves are also at risk, as most parking apps allow a license plate to be registered more than once, allowing an attacker to overtake their parking sessions.

Does this technique reveal the identity of license plate owners?

The intercepted parking sessions reveal interesting information about the drivers, such as the parking duration, location, time and date. During our investigation, we have located individuals near office buildings, shopping malls, concert venues, sport facilities, casinos and hospitals. Given enough data points, the system could reveal the identity of the driver simply by looking at their activities.

Who’s most at risk?

This form of tracking is interesting for malicious actors as it captures a moment in time where a vehicle or owner is likely to remain in the same location for an extended period of time. This shapes an opportunity for attackers to get over to the vehicle and wait for the driver to return. Abuse and even war victims are therefore most at risk. Occasional crime can also form a risk factor, in which drivers and vehicles are being tracked because of their behavior, valuable items or appearance.

What can people do to protect themselves?

This study shows that license plates are personal information records that are prone to abuse, and should not be exposed anywhere online, such as on social media. Next to filing a privacy request asking companies not to process the license plate, drivers can try to avoid locations that are equipped with ANPR technologies, albeit that will become increasingly harder in the future if no legislative action is taken.

MORE INFO: https://notmyplate.com/whitepaper
VIDEO DEMO 'PLATESCAN':

Alternatieve titels:

• Kwart van alle auto’s gemakkelijk te traceren via parkeer apps
• Ethische hacker legt privacy-lek in parkeerapps bloot: “Binnenkort kan iedereen je locatie achterhalen”
• Nieuwe “stalkerware” maakt het mogelijk om auto’s te traceren: zo voorkom jij dat je slachtoffer wordt
• Kan parkeren nog anoniem? “Nummerplaatherkenning maakt je locatie openbaar”, zegt ethische hacker
• Ethische hacker waarschuwt: auto's makkelijk te traceren via nummerplaatherkenning
• Privacy-expert toont aan: "Slimme parkeergarages lekken locatiegegevens"

U heeft ze vast al gezien bij het inrijden van een parkeergarage: slimme camera's die uw nummerplaat registreren. Ze worden de laatste jaren niet enkel ingezet voor de veiligheid, maar ook als betaalmiddel. In heel wat garageparken kan je al automatisch in- en uitrijden via nummerplaatherkenning, zonder daarvoor een ticket te moeten nemen. “Het mag dan wel praktisch zijn, maar het blijkt een ramp voor onze privacy”, zegt ethisch hacker Inti De Ceukelaire, die via een privacy-experiment aantoont dat dit systeem onze locatiegegevens openbaar maakt. “Elke wagen kan getraceerd worden, maar je kan er wel iets tegen doen”, waarschuwt Inti.

Kwart van de auto’s gelokaliseerd in 100 dagen

Privacy-activisten waarschuwen al langer voor de gevaren van slimme camera’s, maar verwijzen daarbij voornamelijk naar mogelijk misbruik door de ordediensten. De Ceukelaire toont via een privacy-experiment aan dat ook burgers locatiegegevens kunnen achterhalen: gedurende 100 dagen kreeg hij toestemming om 120 voertuigen te achterhalen, waarvan hij er meer dan 29% wist op te sporen door gebruik te maken van parkeerapplicaties zoals 4411 en Indigo Neo (voorheen bekend als OPnGo).

De mobiele apps maken het mogelijk betalingsgegevens te linken aan een nummerplaat, zodat parkeersessies automatisch worden gestart en beëindigd wanneer een voertuig in het vizier komt van een slimme camera. Er wordt echter niet gecontroleerd of de ingegeven nummerplaat aan de gebruiker toebehoort, waardoor het mogelijk is om parkeersessies van inrijdende voertuigen te onderscheppen. Of de bestuurders zelf parkeerapps gebruiken, speelt geen rol. Het enige obstakel is dat degene die de parkeersessie onderschept er ook effectief voor moet betalen “maar met een gemiddelde van €7,82 per succesvol getraceerd voertuig is dat tientallen keren goedkoper dan pakweg een privédetective”, licht De Ceukelaire toe.

De privacy-prijs die je betaalt voor gratis straatparkeren

Wie dacht zijn privacy te kunnen waarborgen door parkeergarages met camera’s te mijden en op straat te parkeren, is er aan voor de moeite: De Ceukelaire ontwikkelde ook een tool om gratis parkeersessies op te sporen, dat op het einde van elke dag duizenden digitale parkeermeters aanspreekt met de vraag of er nog gratis parkeertijd beschikbaar is voor de te traceren voertuigen. “Als mijn systeem er niet in slaagt om een gratis parkeersessie van één seconde aan te maken voor een nummerplaat, dan weet ik met zekerheid dat het voertuig diezelfde dag in de zone heeft geparkeerd”. Momenteel werkt de laatste truc enkel op locaties die via 4411 gratis parkeertijd aanbieden, zoals Aalst, Antwerpen, Beveren, sommige delen van Brussel, Chaleroi, De Panne, Gent, Hasselt, Doornik en Turnhout.

Europees probleem, België koploper

Andere West-Europese landen kampen met hetzelfde privacyprobleem, al telt België met de hoogste dichtheid van 2.55 slimme parkeerplekken per km², goed voor 78.000 plaatsen in totaal. “Zweden en Frankrijk zijn met 220.000 slimme parkeerplekken recordhouders in Europa, maar de oppervlakte van die landen is veel groter waardoor de ‘track-kans’ kleiner is dan in België”, klinkt het. De Ceukelaire pleit voor een aanpak op Europees niveau “Tijdens het onderzoek wisten we een Belgische nummerplaat op meer dan 1.000km te lokaliseren, tegen de Spaanse grens. De meeste parkeerbedrijven zijn actief in verschillende landen en moeten dus op Europees niveau worden aangemoedigd om hun privacy maatregelen op te krikken. Het probleem zal alleen maar groter worden in de toekomst, omdat duurzame mobiliteitsplannen steeds meer auto’s omleiden naar parkeergelegenheden buiten het straatbeeld. Bovendien wordt dezelfde technologie in Engeland en Ierland ook al toegepast op tolwegen, dus zelfs wie altijd privé parkeert, kan gelokaliseerd worden.”

Zo voorkom jij dat je slachtoffer wordt

In samenwerking met privacy-juristen ontwikkelde De Ceukelaire de website notmyplate.com, waarbij gebruikers een GDPR-verzoek kunnen indienen bij de parkeerbedrijven om hun nummerplaat niet langer te verwerken. “De effectiviteit daarvan valt af te wachten, maar het geeft in elk geval een duidelijk signaal aan de uitbaters van slimme parkeergelegenheden dat er snel een structurele oplossing moet komen. In eerste instantie kunnen ze er bijvoorbeeld voor zorgen dat je niet zomaar een nummerplaat opnieuw kan registreren als die ergens in het systeem staat. Bij onze testen van 12 parkeerapplicaties bleek enkel die van Interparking dit te voorkomen.”

Veelgestelde vragen

Zijn gebruikers die geen parkeerapps gebruiken ook traceerbaar?

Ja, iedereen met een nummerplaat kan op deze manier getraceerd worden in parkeerlocaties met nummerplaatherkenning of bij gratis straatparkeren, ook als ze enkel gebruik maken van papieren tickets. Gebruikers die zelf beroep doen op nummerplaatherkenning lopen ook risico, aangezien de meeste parkeersapps het toelaten om een nummerplaat in te geven die reeds in het systeem staat, en zo de parkeersessies te kapen. Voorbeeld: “4411.io Helpdesk - Kunnen meerdere accounts tegelijkertijd eenzelfde nummerplaat activeren voor nummerplaatherkenning?”

Maakt deze techniek het mogelijk om te achterhalen wie er achter welke nummerplaat zit?

Parkeersessies geven een onschatbare bron van informatie prijs over bestuurders: aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen. Hoe meer momentopnames het systeem kan onderscheppen, hoe groter de kans om te achterhalen wie de bestuurder is.

Wie loopt het meeste risico?

Wat nummerplaatherkenning in parkeergarages interessant maakt voor kwaadwillenden is het feit dat de auto meestal een poosje op dezelfde locatie verblijft. Dat geeft hen de tijd om zich naar het voertuig toe te begeven en eventueel de bestuurder op te wachten. Personen die binnen Europa moeten onderduiken voor familiaal- of zelfs oorlogsgeweld lopen hierdoor het meeste risico. Daarnaast kan ook gelegenheidscriminaliteit een rol spelen, waarbij een auto of bestuurder kan worden gevolgd omwille van gedrag, rijkdom of uiterlijke kenmerken.

Wat kunnen mensen zelf nog doen?

Dit onderzoek toont aan dat een nummerplaat een persoonsgegeven is dat beter niet wordt blootgesteld op het internet, bijvoorbeeld in foto’s op sociale media. Naast het indienen van een GDPR-verzoek aan alle operatoren met de vraag om het nummerplaat niet langer te verwerken kunnen gebruikers proberen om locaties met nummerplaatherkenning te vermijden, al is dat op termijn een moeilijke opdracht als er geen actie wordt ondernomen.

MORE INFO: https://notmyplate.com/whitepaper
VIDEO DEMO 'PLATESCAN':

Titres

• Des études montrent que les applications de stationnement révèlent votre emplacement : voici comment éviter d'être suivi
• Un quart des véhicules sont facilement repérables grâce à ... des applications de stationnement
• Une expérience de protection de la vie privée montre que les caméras ANPR permettent au public de localiser les véhicules
• Un nouvel outil de logiciel espion permet de suivre les véhicules : « Jusqu'à 29 % des sujets de test ont été localisés dans les premiers 100 jours. »
• Un pirate éthique met en garde : les caméras de stationnement exposent votre emplacement. Voici ce que vous pouvez faire.

Ces dernières années, la reconnaissance automatique des plaques d'immatriculation (RAPI) est passée de l'application de la loi et du code de la route aux applications de stationnement. La pandémie a accéléré l'essor des solutions sans contact et le secteur du stationnement ne fait pas exception : « Plus de 3 000 emplacements de parking ont mis en place un système d'entrée sans billet basé sur la reconnaissance des plaques d'immatriculation au cours des trois dernières années », explique le hacker éthique Inti De Ceukelaire. « Bien que ces systèmes soient pratiques, ils exposent par inadvertance les détails de votre emplacement à quiconque qui est prêt à payer vos frais de stationnement », conclut le chercheur en sécurité belge après avoir mené une expérience de suivi de voiture à grande échelle.

Entre juin et août de cette année, De Ceukelaire a tenté de retrouver 120 propriétaires de véhicules qui ont accepté de participer à l'expérience. Sur une période de 100 jours, De Ceukelaire a réussi à localiser un peu plus de 29 % de tous les participants en utilisant uniquement des applications de stationnement fréquemment utilisées. En enregistrant leur plaque d'immatriculation et en associant ses données de paiement, il a pu intercepter automatiquement les sessions de stationnement à péage dès qu'un véhicule suivi entre dans des locaux équipés d'un système ANPR. « Avec un coût moyen de 7,82 € par véhicule localisé avec succès, cette technique est extrêmement accessible et ne coûte qu'une fraction des autres techniques de localisation, comme le recours à un détective privé », explique De Ceukelaire.

Le problème ne se limite pas aux installations de stationnement hors voirie, puisque l'étude décrit également une méthode de suivi qui fonctionne dans les zones offrant un stationnement gratuit limité dans les rues. De Ceukelaire a conçu un outil qui se connecte périodiquement à des milliers de parcmètres numériques afin de lancer une session de stationnement d'une seconde pour la plaque d'immatriculation de la cible dans les zones offrant un stationnement gratuit limité. Si le système ne parvient pas à ouvrir une session de stationnement gratuit parce qu'une plaque d'immatriculation a déjà épuisé son temps de stationnement gratuit pour la journée dans cette zone, l'opérateur de l'outil reçoit une notification indiquant la zone où le véhicule a été repéré. Bien que De Ceukelaire ne prévoie pas de rendre public son outil de logiciel espion dans un avenir proche, il prévient que d'autres peuvent facilement reproduire l'idée si aucune action rapide n'est entreprise à l'échelle européenne :

« Nous avons identifié plus d'un million de places de stationnement pouvant être suivies à travers l'Europe, et nous nous attendons à ce que ce nombre augmente rapidement dans les mois et les années à venir. Avec le paiement par lecture automatique des plaques d'immatriculation (LAPI) sur les routes à péage comme la M50 en Irlande et la M6 en Angleterre, il sera de plus en plus difficile de circuler librement sans risquer d'être suivi. Au cours de notre expérience, nous avons pu retrouver un citoyen belge à plus de 1 000 kilomètres de son domicile, près de la frontière espagnole. Les opérateurs de stationnement comme APCOA, Q-Park et Indigo sont présents dans plusieurs pays, ce qui facilite le suivi au-delà des frontières. La commodité ne devrait jamais se faire au détriment de notre vie privée. Les législateurs européens doivent faire appliquer les réglementations relatives à la protection de la vie privée aux opérateurs de stationnement et veiller à ce que les utilisateurs puissent refuser que leurs plaques d'immatriculation soient traitées. »

Dans le but d'accélérer le processus législatif, De Ceukelaire s'est associé à des avocats spécialisés dans la protection de la vie privée pour créer notmyplate.com, un site web qui permet aux utilisateurs de demander aux opérateurs de stationnement de ne pas traiter leur plaque d'immatriculation. « Bien que nous ne puissions pas garantir que les opérateurs de stationnement se conformeront à ces demandes, nous sommes convaincus que cela enverra un message fort aux opérateurs de stationnement, à savoir que la société a besoin de solutions de stationnement respectueuses de la vie privée. Une précaution qu'ils pourraient mettre en œuvre est de s'assurer que les plaques d'immatriculation ne peuvent pas être réenregistrées dans le système sans l'approbation du propriétaire initial. Sur les 12 applications que nous avons testées, une seule (Interparking) a limité cette forme de détournement de plaque d'immatriculation. »

Questions fréquemment posées

Est-il également possible de localiser les utilisateurs qui n'utilisent pas de billets de stationnement ?

Oui, toute personne possédant une plaque d'immatriculation peut être localisée si elle entre dans un établissement utilisant le paiement automatique par LAPI, même si elle n'utilise que des billets de stationnement. Les personnes qui utilisent déjà elles-mêmes des billets basés sur LAPI courent également un risque, car la plupart des applications de stationnement permettent d'enregistrer une plaque d'immatriculation plusieurs fois, ce qui permet à un attaquant de dépasser leurs sessions de stationnement.

Est-ce que cette technique révèle l'identité des propriétaires de plaques d'immatriculation ?

Les sessions de stationnement interceptées révèlent des informations intéressantes sur les conducteurs, telles que la durée, le lieu, l'heure et la date du stationnement. Au cours de notre enquête, nous avons localisé des individus près d'immeubles de bureaux, de centres commerciaux, de salles de concert, d'installations sportives, de casinos et d'hôpitaux. Avec suffisamment de points de données, le système pourrait révéler l'identité du conducteur simplement en observant ses activités.

Qui est le plus à risque ?

Cette forme de suivi est intéressante pour les acteurs malveillants car elle permet de capturer un moment où un véhicule ou son propriétaire est susceptible de rester au même endroit pendant une période prolongée. Cela donne l'occasion aux attaquants de s'approcher du véhicule et d'attendre le retour du conducteur. Les victimes d'abus et même les victimes de guerre sont donc les plus à risque. La criminalité occasionnelle peut également constituer un facteur de risque, dans la mesure où les conducteurs et les véhicules sont suivis en raison de leur comportement, de leurs objets de valeur ou de leur apparence.

Que peuvent faire les gens pour se protéger ?

Cette étude montre que les plaques d'immatriculation sont des enregistrements d'informations personnelles susceptibles de faire l'objet d'abus et qu'elles ne devraient pas être exposées en ligne, notamment sur les médias sociaux. Outre le dépôt d'une demande de protection de la vie privée demandant aux entreprises de ne pas traiter la plaque d'immatriculation, les conducteurs peuvent essayer d'éviter les lieux équipés de technologies LAPI, bien que cela devienne de plus en plus difficile à l'avenir si aucune mesure législative n'est prise.

MORE INFO: https://notmyplate.com/whitepaper
VIDEO DEMO 'PLATESCAN':

Mögliche Titel:

• Studie zeigt, dass Park-Apps Ihren Standort preisgeben: So können Sie verhindern, dass Sie geortet werden
• Ein Viertel aller Fahrzeuge ist nachweislich leicht zu orten - dank... Park-Apps
• ANPR-Kameras geben den Standort von Fahrzeugen öffentlich preis, wie ein Experiment zum Schutz der Privatsphäre zeigt
• Neues Stalkerware-Tool ermöglicht das Aufspüren von Fahrzeugen: "Bis zu 29 % der Testpersonen innerhalb von 100 Tagen geortet"
• Ethischer Hacker warnt: Parkplatzkameras geben Ihren Standort preis. Hier ist, was Sie tun können.

In den letzten Jahren hat die automatische Nummernschilderkennung (ANPR) ihren Weg von der Strafverfolgung und der Durchsetzung der Straßenverkehrsordnung zu Anwendungen im Bereich des Parkens gefunden. Die Pandemie hat den Aufstieg von kontaktlosen Lösungen beschleunigt, und die Parkraumbewirtschaftung ist keine Ausnahme: "Mehr als 3.000 Parkplätze haben in den letzten drei Jahren einen ticketlosen Zugang auf der Grundlage von Nummernschilderkennung eingeführt", sagt der ethische Hacker Inti De Ceukelaire. "Diese Systeme sind zwar praktisch, aber sie geben unbeabsichtigt Ihre Standortdaten an jeden beliebigen Nutzer weiter, der bereit ist, Ihre Parkgebühr zu bezahlen", so die Schlussfolgerung des belgischen Sicherheitsforschers, der ein groß angelegtes Experiment zur Fahrzeugverfolgung durchgeführt hat.

Zwischen Juni und August dieses Jahres versuchte De Ceukelaire, 120 Fahrzeugbesitzer ausfindig zu machen, die sich bereit erklärten, an dem Experiment teilzunehmen. Über einen Zeitraum von 100 Tagen gelang es De Ceukelaire, den Aufenthaltsort von etwas mehr als 29 % aller Teilnehmer allein durch die Verwendung weit verbreiteter Parkanwendungen zu ermitteln. Durch die Registrierung des Kennzeichens und die Verknüpfung seiner Zahlungsdaten war er in der Lage, automatisch gebührenpflichtige Parkvorgänge zu unterbrechen, sobald ein verfolgtes Fahrzeug in ein ANPR-fähiges Gelände einfuhr. "Mit durchschnittlichen Kosten von 7,82 € pro erfolgreich geortetem Fahrzeug ist diese Technik äußerst zugänglich und kostet nur einen Bruchteil anderer Ortungstechniken, wie etwa die Beauftragung eines Privatdetektivs", erklärt De Ceukelaire.

Das Problem beschränkt sich nicht auf Parkplätze abseits der Straße, denn in der Studie wird auch eine Ortungsmethode beschrieben, die in Gebieten mit begrenzten kostenlosen Parkmöglichkeiten auf der Straße funktioniert. De Ceukelaire hat ein Tool entwickelt, das in regelmäßigen Abständen eine Verbindung zu Tausenden von digitalen Parkuhren herstellt, um für das Nummernschild der Zielperson einen einsekündigen Parkvorgang in Gebieten zu starten, in denen das Parken kostenlos ist. Gelingt es dem System nicht, einen freien Parkvorgang zu starten, weil die freie Parkzeit für das Nummernschild in diesem Gebiet bereits abgelaufen ist, erhält der Betreiber des Tools eine Benachrichtigung mit dem Gebiet, in dem das Fahrzeug entdeckt wurde. De Ceukelaire hat zwar nicht vor, sein Stalkerware-Tool in nächster Zeit der Öffentlichkeit zugänglich zu machen, warnt aber davor, dass andere die Idee leicht nachahmen können, wenn nicht umgehend Maßnahmen auf europäischer Ebene ergriffen werden:

"Wir haben mehr als eine Million verfolgbare Parkplätze in ganz Europa identifiziert und gehen davon aus, dass die Zahl in den kommenden Monaten und Jahren schnell ansteigen wird. Da ANPR-basierte Zahlungssysteme auch auf Mautstraßen wie der irischen M50 und der englischen M6 Einzug halten, wird es immer schwieriger, sich frei zu bewegen, ohne Gefahr zu laufen, verfolgt zu werden. Während unseres Experiments konnten wir einen belgischen Staatsbürger mehr als 1.000 Kilometer von seinem Wohnort entfernt, nahe der spanischen Grenze, aufspüren. Parkplatzbetreiber wie APCOA, Q-Park und Indigo sind in mehreren Ländern vertreten, was die grenzüberschreitende Verfolgung erleichtert. Praktische Vorteile sollten nie auf Kosten unserer Privatsphäre gehen. Die europäischen Gesetzgeber müssen die Datenschutzbestimmungen für Parkraumbetreiber durchsetzen und sicherstellen, dass die Nutzer der Verarbeitung ihrer Nummernschilder widersprechen können."

Um den Gesetzgebungsprozess zu beschleunigen, hat De Ceukelaire zusammen mit Datenschutzanwälten die Website notmyplate.com ins Leben gerufen, die es den Nutzern ermöglicht, die Parkplatzbetreiber aufzufordern, ihr Nummernschild nicht zu verarbeiten. "Wir können zwar nicht garantieren, dass die Parkplatzbetreiber dieser Aufforderung nachkommen, aber wir sind zuversichtlich, dass dies ein deutliches Signal an die Parkplatzbetreiber sein wird, dass die Gesellschaft Lösungen braucht, bei denen der Datenschutz im Vordergrund steht. Eine Vorsichtsmaßnahme, die sie ergreifen könnten, besteht darin, sicherzustellen, dass Nummernschilder nicht ohne die Zustimmung des ursprünglichen Eigentümers erneut im System registriert werden können. Von den 12 Anwendungen, die wir getestet haben, schränkte nur eine (Interparking) diese Form des Kennzeichenmissbrauchs ein.

Häufig gestellte Fragen

Ist es auch möglich, Nutzer zu lokalisieren, die keine Parkanwendungen nutzen?

Ja, jeder mit einem Nummernschild kann geortet werden, wenn er ein Gelände betritt, das ANPR-basiertes Auto-Payment verwendet, auch wenn er nur Parktickets nutzt. Personen, die bereits selbst ANPR-basiertes Ticketing nutzen, sind ebenfalls gefährdet, da die meisten Park-Apps es erlauben, ein Nummernschild mehr als einmal zu registrieren, was es einem Angreifer ermöglicht, ihre Parksitzungen zu überholen.

Enthüllt diese Technik die Identität der Nummernschildbesitzer?

Die abgefangenen Parkvorgänge geben interessante Informationen über die Fahrer preis, z. B. die Parkdauer, den Ort, die Uhrzeit und das Datum. Während unserer Untersuchung haben wir Personen in der Nähe von Bürogebäuden, Einkaufszentren, Konzerthallen, Sporteinrichtungen, Kasinos und Krankenhäusern ausfindig gemacht. Bei einer ausreichenden Anzahl von Datenpunkten könnte das System die Identität des Fahrers allein durch die Betrachtung seiner Aktivitäten aufdecken.

Wer ist am meisten gefährdet?

Diese Form der Verfolgung ist für böswillige Akteure interessant, da sie einen Zeitpunkt erfasst, an dem sich ein Fahrzeug oder sein Besitzer wahrscheinlich über einen längeren Zeitraum am selben Ort aufhält. Dies bietet Angreifern die Möglichkeit, zum Fahrzeug vorzudringen und auf die Rückkehr des Fahrers zu warten. Missbrauchsopfer und sogar Kriegsopfer sind daher besonders gefährdet. Auch Gelegenheitsdelikte können einen Risikofaktor darstellen, bei denen Fahrer und Fahrzeuge aufgrund ihres Verhaltens, ihrer Wertgegenstände oder ihres Aussehens verfolgt werden.

Was können die Menschen tun, um sich zu schützen?

Diese Studie zeigt, dass Kfz-Kennzeichen persönliche Daten sind, die missbraucht werden können und nirgendwo im Internet, z. B. in den sozialen Medien, veröffentlicht werden sollten. Neben einem Antrag auf Datenschutz, in dem Unternehmen aufgefordert werden, das Nummernschild nicht zu verarbeiten, können Autofahrer versuchen, Orte zu meiden, die mit ANPR-Technologien ausgestattet sind, auch wenn dies in Zukunft immer schwieriger werden wird, wenn keine gesetzgeberischen Maßnahmen ergriffen werden.

MORE INFO: https://notmyplate.com/whitepaper
VIDEO DEMO 'PLATESCAN':

Títulos posibles:

• Un estudio demuestra que las aplicaciones de estacionamiento exponen tu ubicación: así puedes evitar que te rastreen
• Se demuestra que una cuarta parte de los vehículos son fácilmente rastreables gracias a... las aplicaciones de estacionamiento
• Las cámaras ANPR exponen la ubicación de los vehículos al público, según un experimento de privacidad
• Una nueva herramienta de acoso permite rastrear los vehículos: "hasta el 29% de los sujetos de prueba son rastreados en 100 días"
• Un hacker ético advierte: las cámaras de estacionamiento exponen tu ubicación. Esto es lo que puedes hacer.

En los últimos años, el reconocimiento automático de matrículas (ANPR) se ha abierto camino desde la aplicación de la ley y las normas de circulación hasta las aplicaciones de estacionamiento. La pandemia ha acelerado el auge de las soluciones sin contacto y el sector del aparcamiento no es una excepción: "En los últimos tres años, más de 3.000 estacionamientos han implantado la entrada sin ticket basada en el reconocimiento de matrículas", afirma el hacker ético Inti De Ceukelaire. "Aunque estos sistemas son cómodos, exponen inadvertidamente los datos de tu ubicación a cualquiera que esté dispuesto a pagar tu tarifa de aparcamiento", concluye el investigador de seguridad belga tras realizar un experimento de seguimiento de coches a gran escala.

Entre junio y agosto de este año, De Ceukelaire intentó localizar a 120 propietarios de vehículos que aceptaron participar en el experimento. Durante un periodo de 100 días, De Ceukelaire consiguió localizar en vivo a algo más del 29% de todos los participantes únicamente mediante el uso de aplicaciones de estacionamiento muy utilizadas. Registrando su matrícula y vinculando sus datos de pago, pudo interceptar automáticamente las sesiones de estacionamiento de peaje una vez que el vehículo rastreado entraba en las instalaciones habilitadas para ANPR. "Con un costo medio de 8,25 euros por vehículo localizado con éxito, esta técnica es extremadamente accesible y cuesta sólo una fracción de otras técnicas de seguimiento, como la contratación de un investigador privado", explica De Ceukelaire.

El problema no se limita a los estacionamientos fuera de la vía pública, ya que el estudio también expone un método de rastreo que funciona en zonas que ofrecen estacionamiento limitado y gratuito en la calle. De Ceukelaire construyó una herramienta que se conecta periódicamente a miles de parquímetros digitales para iniciar una sesión de estacionamiento de un segundo para la matrícula del objetivo en zonas que ofrecen estacionamiento limitado y gratuito. Si el sistema no consigue abrir una sesión de estacionamiento gratuito porque la matrícula ya ha agotado el tiempo de estacionamiento gratuito para ese día en esa zona, el operador de la herramienta recibe una notificación con la zona en la que se ha visto el vehículo. Aunque De Ceukelaire no tiene previsto hacer pública su herramienta de acoso a corto plazo, advierte que otros pueden replicar fácilmente la idea si no se toman medidas rápidas a escala europea:

"Hemos identificado más de un millón de puntos de estacionamiento rastreables en toda Europa, y esperamos que el número aumente rápidamente en los próximos meses y años. Con el pago basado en ANPR, que también está llegando a las carreteras de peaje, como la M50 de Irlanda y la M6 de Inglaterra, la libertad de circulación será cada vez más difícil sin el riesgo de ser rastreado. Durante nuestro experimento, pudimos localizar a un ciudadano belga a más de 1.000 kilómetros de su casa, cerca de la frontera española. Operadores de aparcamientos como APCOA, Q-Park e Indigo tienen presencia en varios países, lo que facilita el seguimiento transfronterizo. La comodidad nunca debe ir en contra de nuestra privacidad. Los legisladores europeos deben hacer cumplir la normativa sobre privacidad a los operadores de estacionamiento y garantizar que los usuarios puedan optar por no procesar sus matrículas".

En un esfuerzo por acelerar el proceso legislativo, De Ceukelaire se asoció con abogados especializados en privacidad para crear notmyplate.com, un sitio web que permite a los usuarios solicitar a los operadores de estacionamiento que no procesen sus matrículas. "Aunque no podemos asegurar que los operadores de estacionamiento cumplan con estas solicitudes, estamos seguros de que enviará un fuerte mensaje a los operadores de estacionamiento de que la sociedad necesita soluciones que den prioridad a la privacidad. Una precaución que podrían aplicar es garantizar que las matrículas no puedan volver a registrarse en el sistema sin la aprobación del propietario original. De las 12 aplicaciones que probamos, sólo una (Interparking) limitó esta forma de secuestro de matrículas".

Preguntas frecuentes

¿Es posible también localizar a los usuarios que no utilizan las aplicaciones de estacionamiento?

Sí, se puede localizar a todas las personas con matrícula si entran en un local que utiliza el autopago basado en ANPR, aunque sólo utilicen tickets de estacionamiento. Las personas que ya utilizan el autopago basado en ANPR también están en riesgo, ya que la mayoría de las aplicaciones de estacionamiento permiten registrar una matrícula más de una vez, lo que permite a un atacante superar sus sesiones de estacionamiento.

¿Revela esta técnica la identidad de los propietarios de las matrículas?

Las sesiones de estacionamiento interceptadas revelan información interesante sobre los conductores, como la duración del estacionamiento, la ubicación, la hora y la fecha. Durante nuestra investigación, hemos localizado a personas cerca de edificios de oficinas, centros comerciales, salas de conciertos, instalaciones deportivas, casinos y hospitales. Con suficientes puntos de datos, el sistema podría revelar la identidad del conductor con sólo ver sus actividades.

¿Quién corre más riesgo?

Esta forma de rastreo es interesante para los delincuentes, ya que capta un momento en el que es probable que un vehículo o un propietario permanezcan en el mismo lugar durante un largo periodo de tiempo. Esto genera una oportunidad para que los delincuentes se acerquen al vehículo y esperen a que el conductor regrese. Por lo tanto, las víctimas de abusos e incluso de la guerra son las que corren más riesgo. La delincuencia ocasional también puede constituir un factor de riesgo, en el que los conductores y los vehículos son rastreados por su comportamiento, sus objetos de valor o su aspecto.

¿Qué puede hacer la gente para protegerse?

Este estudio muestra que las matrículas son registros de información personal que son propensos al abuso, y no deberían exponerse en ningún lugar en línea, como en las redes sociales. Además de presentar una solicitud de privacidad pidiendo a las empresas que no procesen la matrícula, los conductores pueden intentar evitar los lugares equipados con tecnologías ANPR, aunque eso será cada vez más difícil en el futuro si no se toman medidas legislativas.

MORE INFO: https://notmyplate.com/whitepaper
VIDEO DEMO 'PLATESCAN':