Volgens de NS is maximaal een kwart van de reizigers op stations te volgen door middel van wifi- of bluetooth-tracking. Dat vertelt NS-onderzoeker Rik Schakenbos tijdens een presentatie op de Infosecurity-beurs in Utrecht.

In de presentatie komt ook het proces voor de verwerking van de gegevens aan bod. Nadat een mac-adres is geregistreerd, wordt het direct gehasht met sha256. Daarna worden 8 bits weggegooid om zo tot een truncated hash te komen. Deze hash kan in principe nog steeds gebruikt worden om iemand via zijn unieke mac-adres te volgen, omdat de input niet verandert. De gegevens worden enkele uren op de sensor opgeslagen, bijvoorbeeld om de gevolgen van netwerkproblemen te minimaliseren.

Vervolgens stuurt de sensor deze hashes via een beveiligde verbinding naar een server, waar ze nog een keer gehasht worden met sha256. Deze keer gebeurt dat in combinatie met een dagelijks veranderende salt, waardoor volgens Schakenbos 'patroonherkenning onmogelijk wordt'. Het zou door deze procedure alleen mogelijk zijn een reiziger gedurende één dag te volgen, omdat er de volgende dag een andere hash uitkomt. Deze gegevens slaat de NS vijf jaar op.

Het is niet mogelijk om via een opt-out tracking te weigeren. Volgens de onderzoeker was dat een bewuste keuze: "Als we voor een opt-out hadden gekozen, zouden we alle mac-adressen die niet gevolgd willen worden in een database moeten opslaan." Dat zou weer andere privacyvraagstukken met zich mee hebben gebracht. Via bluetooth- en wifitracking wil de NS verschillende soorten reizigers in kaart brengen aan de hand van de manier waarop ze zich door stations bewegen.

De NS volgt reizigers op deze manier sinds 2013 op de stations Amsterdam -, Leiden - & Utrecht Centraal, Amsterdam Zuid, Schiphol en 's-Hertogenbosch en zet naast wifi- en bluetooth-tracking ook sensoren in om het aantal reizigers te tellen. De vervoersorganisatie informeert reizigers door middel van bordjes over tracking.

Alles bij de bron; Tweakers