Een app waarmee voetbalsupporters van eredivisieclubs wedstrijdkaarten kopen, stuurt privacygevoelige data zoals een pasfoto, BSN en handtekening naar een Amazon-server in Ierland en slaat die gegevens daar op. Daardoor vallen die data onder de Amerikaanse Cloud Act en kunnen deze gevorderd worden door de Amerikaanse staat, waarschuwt maatschappelijk hacker Mick Beer. Volgens de app-maker Siip zit Beer door een verkeerde aanname in een tunnelvisie en is zijn conclusie onjuist. De zaak is verhard en de beschuldigingen vliegen inmiddels over en weer.
Mick Beer is zelfstandig bouwer en onderzoeker van ‘privacy-first systemen’. Eerder vond hij ongeoorloofde cookies in een app van de Belastingdienst. Hij onderzoekt nu de app PDT (Persoonlijke Digitale Toegang). Deze app van de Zwolse leverancier Siip koppelt de identiteit van de gebruiker aan een toegangsticket voor voetbalwedstrijden. De ontwikkelaar stelt dat het id-profiel van de gebruiker het toestel niet verlaat en dat dit niet op een server wordt opgeslagen. Volgens Beer is dat wel het geval.
In een mailwisseling die Beer integraal heeft gepubliceerd, schrijft Siip-directeur Remco Voorhorst. ‘Om te zorgen dat er met gevalideerde gegevens wordt gewerkt, voeren wij passive authentication uit volgens de ICAO 9303 standaard. De datagroepen die noodzakelijk zijn om dit uit te voeren, worden versleuteld via de backend geleid voor de noodzakelijke cryptografische echtheidscontrole, waarna ze direct van onze servers worden verwijderd.’ Hij stelt dat zodra de echtheid van een document is gevalideerd, dit leidt dit tot een gebruikersaccount bij Siip. ‘De gevalideerde persoonsgegevens worden vervolgens teruggeleid tot het finaliseren van het account en decentraal opgeslagen op de telefoon.’
Er is volgens Voorhorst geen sprake van opslag van deze persoonsgegevens op een server. Er wordt op de server wel een account aangemaakt om dienstverlening te kunnen uitvoeren en daarvoor accepteert de gebruiker de voorwaarden van Siip. ‘Het e-mailadres van de gebruiker wordt wel versleuteld op de server opgeslagen’, voegt Voorhorst toe.
Publicatie van onderzoek
Beer beweert dat zijn bewijs wel klopt en heeft hiervoor ter onderbouwing inmiddels een hele serie documenten gepubliceerd. Volgens de app-maker zijn er daarmee regels geschonden voor responsible disclosure doordat Beer zijn ‘aannames’ zonder een juiste melding heeft verspreid. Beer blijft in zijn standpunt onderbouwen met uitgebreide publicaties, documenten en onderzoeken waaruit volgens hem blijkt dat de privacy van de app niet deugt.
De app waar het over gaat wordt inmiddels door meerdere clubs gebruikt en er zijn plannen om deze in het seizoen 2027/2028 eredivisie-breed in te voeren, zegt Beer. In zijn blog deelt hij zijn bevindingen en testmethoden. De KNVB is om een reactie gevraagd. De voetbalbond zegt daar later deze week op terug te komen.
