Johnnys speedometer-app sladrede om hans færden

60.673 danske mobilejeres f√¶rden er blevet indsamlet af 576 apps og videresolgt til en datak√łbmand. Nu kan TV 2 afsl√łre navnene p√• nogle af appsene.

Se listen med sladre-apps længere nede i artiklen.

Da Johnny Riisom installerede en simpel speedometer-app p√• sin mobiltelefon, forventede han ikke, at den skulle foretage sig meget andet end at m√•le bilens fart, n√•r han k√łrte en tur.

Men appen gjorde mere end det.

Skjult i appens kode l√• et lille program, en s√•kaldt SDK, fra den engelske datak√łbmand Huq Industries, der gjorde det muligt at aflure Johnnys pr√¶cise f√¶rden og senere videres√¶lge oplysningerne om ham til ukendte k√łbere.

- Det er noget s√• harml√łst som en speedometer-app, der viser hastigheden. Men der har de s√• f√•et puttet noget tracking ind i ogs√•. Det er irriterende, siger Johnny Riisom.

Johnny Riisom l√¶ste ikke den alenlange privatlivspolitik grundigt igennem, inden han accepterede brugervilk√•rene og installerede appen Speedometer GPS, men det havde heller ikke hjulpet en d√łjt.

For i de lange tekster lover appen, at de data, der bliver indsamlet og videresolgt, ikke indeholder information, der kan identificere brugeren. S√•dan er det med alle de apps, der indsamler data p√• vegne af datak√łbmanden Huq Industries: De lover anonymitet.

Men det er ikke anonyme data, der bliver sendt direkte til datak√łbmanden Huq Industries.

Det ved vi, fordi TV 2 tidligere p√• √•ret bad medie- og analysefirmaet Kaas & Mulvad om at k√łbe et datas√¶t med oplysninger fra danske mobiltelefoner gennem 12 m√•neder fra Huq Industries og unders√łge det.

Det var tydeligt, at der p√• ingen m√•de var tale om anonyme data, da datas√¶ttet blev unders√łgt. Kaas & Mulvad kunne i stikpr√łver identificere ejerne af de enkelte mobiltelefoner ‚Äď ofte ved simpelthen at se p√• hvor telefonen opholdt sig om natten.

TV 2-ansat blev sporet

Vi fandt Johnny Riisom, fordi vi som noget af det f√łrste bad Kaas & Mulvad om at lede efter mobiltelefoner, der havde haft deres f√¶rden p√• TV 2.

Johnny Riisom, der arbejder som IT-supporter på TV 2 i Odense, blev noget overrasket over, at han havde været udsat for sporing via sin Samsung mobil.

Johnny Riisom, der arbejder som it-supporter på TV 2 i Odense, blev noget overrasket over, at han havde været udsat for sporing via sin mobil.

Hold da op. Det virker godt nok lidt voldsomt

Johnny Riisom, it-supporter hos TV 2

Samlet havde hans telefon sladret om, hvor han befandt sig mere end 57.000 gange gennem 12 måneder.

- Hold da op. Det virker godt nok lidt voldsomt, siger Johnny Riisom, da vi viser ham nogle plancher over hans færden gennem perioden.

En af de plancher, vi viser ham, er fra hans egen villavej.

- Det er sådan set der, jeg bor, så det giver ret god mening, siger han.

Johnny Riisom havde ikke forestillet sig, at han ville blive overvåget, og at hans oplysninger ville blive videresolgt til tredjemand på det åbne datamarked, blot fordi han valgte at bruge en speedometer-app.

- Da jeg installerede appen, t√¶nkte jeg formentlig: Det er bare en app, det er jo n√¶rmest harml√łst. Men det kan jeg se nu, at det var det s√• ikke, siger Johnny Riisom.

Sladre-appen Speedometer GPS, som Johnny Riisom havde installeret, sendte l√łbende ret pr√¶cise oplysninger til datak√łbmanden.

Her kan man for eksempel se periodens signaler fra rastepladsen Kildebjerg på Fyn, hvor Johnny Riisom flere gange har gjort stop.

58 sladre-apps

Datas√¶ttet, som Kaas & Mulvad k√łbte og unders√łgte for TV 2, indeholdt oplysninger om mere end 60.000 danskere indsamlet af 576 forskellige mobilapps, hovedsageligt til Android-telefoner.

Sådan har vi gjort

TV 2 har bedt medie- og analysefirmaet Kaas & Mulvad k√łbe et datas√¶t med historiske lokalitetsoplysninger om 60.673 mobiltelefoner i Danmark hos datak√łbmanden Huq Industries i Storbritannien.

Kaas & Mulvad har analyseret data for TV 2 og foretaget stikpr√łver i materialet.

Hvert apparat har en unik id-kode, men ejerens navn og telefonnummer fremg√•r ikke. Det var dog i mange tilf√¶lde helt √•benlyst, hvem mobiltelefonerne tilh√łrte, fordi man for eksempel blot kunne tjekke, hvor signalet var om natten.

Det har ikke v√¶ret muligt at f√• oplyst, hvem der ellers har k√łbt datas√¶ttet, men data af denne type s√¶lges prim√¶rt til markedsf√łrings- og analyseform√•l.

Det fremgik dog ikke, hvilke apps, der var tale om. Men det kan vi nu delvist l√łfte sl√łret for.

Den tyske forbrugerhjemmeside Mobilsicher har nemlig - efter at have l√¶st artiklerne her p√• tv2.dk - identificeret 46 apps, og TV 2 har fundet yderligere 12 apps, som har indbygget sladrekoden fra datak√łbmanden Huq Industries.

Du kan se listen med de i alt 58 sladre-apps i starten af artiklen eller på Mobilsicher.de.

De siger, at (...) det er helt anonymt. Men det er simpelthen l√łgn.

Miriam Ruhenstroth, projektleder for Mobilsicher

- Den afsl√łrende del i TV 2s d√¶kning var, at nogen faktisk fik unders√łgt de data, som Huq Industries s√¶lger, og kunne bevise, at data ikke var anonym. Det p√•st√•r firmaet jo. De siger, at de godt nok indsamler lokalitetsdata, men at det er helt anonymt. Men det er simpelthen l√łgn, siger projektleder Miriam Ruhenstroth fra Mobilsicher.

Hun mener, at der er en reel fare for, at andre datak√łbm√¶nd og apps ogs√• f√łrer brugerne bag lyset og h√łster data, som de ikke har f√•et tilladelse til at indsamle.

- Det beviser, at vi ikke kan stole på, hvad dataindsamlingsvirksomheder fortæller os om, hvordan de beskytter vores data, og hvordan al data er fortrolig, og at de overholder alle reglerne. Det er simpelthen ikke sandt i nogle tilfælde, siger Miriam Ruhenstroth.

Forbrugerhjemmesiden Mobilsicher, der har identificeret hovedparten af sladre-appsene med sit v√¶rkt√łj Appchecker, er finansieret af den tyske stat og drives af to tyske forbrugervagthunde Irights e.v. og Institute for Technology and Journalism.

- Vi havde en mark√łr for Huqs kode og kunne derfor identificere den i flere apps. Og da vi testede appsene, mens de var aktive, s√• vi ogs√•, at appsene √•bnede en forbindelse til servere fra Huq Industries og overf√łrte en del data, fort√¶ller projektleder Miriam Ruhenstroth fra Mobilsicher.

Tavs datak√łbmand

Miriam Ruhenstroth unders√łgte ogs√• Johnny Riisoms telefon n√łje og kunne konstatere, at appen Speedometer GPS oprettede forbindelse til Huq Industries og sendte data.

De 58 apps, som den tyske forbrugervagthund sætter i forbindelse med Huq Industries, indeholder altså Huqs programkode til indhentning af lokationsdata, og de af appsene, der blev testet yderligere, oprettede forbindelse til selskabets servere og begyndte at sende data.

Det var dog ikke muligt for Mobilsicher at dokumentere, at der blev sendt lokationsoplysninger til Huq Industries.

Dette kan skyldes en kryptering af de pågældende data, vurderer Miriam Ruhenstroth.

Det kan ogs√• skyldes, at datak√łbmanden har sat sin indhentning af lokationsdata p√• pause, fordi Datatilsynet nu er g√•et ind i sagen og har rejst sp√łrgsm√•l omkring lovligheden af dataindsamlingen.

Det har trods gentagne fors√łg ikke v√¶ret muligt at f√• en kommentar fra Huq Industries. Og selskaberne bag de 58 apps forholder sig ogs√• tavse. Kun √©n app-udvikler, Cloudsight Inc., er vendt tilbage med et svar. De skriver til TV 2:

- Vi var ikke klar over problemerne med Huq og har afbrudt samarbejdet.

Mobilsicher fraråder brugen af de apps, der indsamler data for Huq Industries, og det står de ikke alene med.

Skræmmende og ulovligt

Herhjemme vækker tyskernes fund interesse i Forbrugerrådet Tænk, hvor man nu opfordrer danskerne til at undgå appsene på listen.

Myndighederne må se at få skredet ind

Anja Philip, formand for Forbrugerrådet Tænk

- Det, der foregår her, er rigtig skræmmende og intimiderende. Og det overskrider privatlivets fred. Vi mener klart, at det er ulovligt, og myndighederne må se at få skredet ind, siger Anja Philip, der er formand for Forbrugerrådet.

Hun peger på, at listen med sladre-appsene indeholder en bred vifte af almindelige app-typer til hverdagsagtige formål såsom at tjekke vejret.

- Vi skal jo kunne bruge disse digitale v√¶rkt√łjer i et digitalt samfund, s√• vi m√• stille krav til myndighederne om at f√• stoppet det, som i vores optik er en ulovlig adf√¶rd fra datak√łbm√¶ndenes side, s√• vi kan blive trygge forbrugere, siger Anja Philip.

Datatilsynet, der er myndighed på området, har efter TV 2s historier af egen drift åbnet en sag mod Huq Industries i Storbritannien og er i gang med at indhente oplysninger fra selskabet om deres aktiviteter. Tilsynet har ikke endeligt konkluderet, om der er tale om ulovlig dataindsamling.

Professor Peter Blume fra K√łbenhavns Universitet er dog ikke i tvivl.

Det er i strid med persondataforordningen.

Professor Peter Blume, K√łbenhavns Universitet

- Som udgangspunkt er sagen klar: Indsamlingen er ikke lovlig, for datak√łbmanden indsamler personoplysninger om brugerne uden at have et gyldigt samtykke. Det m√• man ikke. Det er i strid med persondataforordningen, lyder vurderingen fra Peter Blume, der er professor i persondataret.

Han peger på, at indsamlingen er problematisk, fordi der kan være mange borgere, der ikke bryder sig om, at andre ved, hvor de er eller har været.

Et eksempel fra USA i sommer sætter tingene på spidsen og viser, hvordan indsamlingen og salget af lokationsdata kan have vidtrækkende konsekvenser.

Sagen drejede sig om en h√łjtplaceret pr√¶st i den katolske kirke, der m√•tte tage sin afsked, efter at et katolsk medie havde brugt lokationsdata, som de havde k√łbt fra en datak√łbmand, til at granske hans privatliv. Mediet afsl√łrede, at pr√¶sten ved flere lejligheder havde bes√łgt barer for homoseksuelle og private hjem, angiveligt mens han brugte mobil-appen Grindr. Afsl√łringen f√łrte til, at pr√¶sten m√•tte tage sin afsked.