Jag låser upp den blanka, futuristiska Volvon med ett klick på min mobil, kör den ut ur P-huset och in i ett annat i närheten. En kamera läser av nummerplåten precis när jag rullat innanför garageporten, och registreringsnumret dyker upp framför mig på en skärm på väggen. Jag hittar en plats, slår av motorn, och väntar rastlöst på att de tio första gratisminuterna ska passera. Efter det kommer en betalning på 35 kronor att dras så fort jag passerar kameran på väg ut igen
På andra sidan stan, cirka tolv kilometer bort, sitter experimentets andra deltagare – en vän till mig, som också skaffat ett konto i samma parkeringsapp. Vännen vet inte exakt var i stan jag befinner mig, och har bara fått bilens registreringsnummer. Nu väntar båda spänt på samma sak – ett parkeringskvitto.
När jag kört ut dyker det upp en notis i appen om obetald parkering i några sekunder, innan den försvinner. Strax efter får jag ett meddelande från min vän: ett kvittot med garagets namn och adress, samt starttid och sluttid för vistelsen.
Min vän har precis spårat min bil, i rollen som ”stalker”, för priset av en fika.
”Det bästa är att man kan spionera på vem som helst. Öppna appen, två knapptryck senare har du registrerat ett nytt fordon och kan börja kartlägga livet på din exfru, kanske.”
Allt börjar med ett Flashbackinlägg. En användare höjer den redan paranoida pulsen i forumets övervakningsdel,genom att påstå sig ha hittat ett kryphål i Easypark – ”Sveriges och Europas mest använda parkeringsapp”, enligt företaget själva. Bara genom att skriva in ett registreringsnummer kan hen få en notis om när och var grannen parkerat sin bil.
”Detta har blivit än lättare eftersom Easypark köpt upp varenda parkeringsplats i stan. […] Häromdagen ringde jag och frågade om han kunde köpa med några bira till mig när jag såg att han stod utanför affären. Såg tom när han åkte därifrån eftersom det är kameraregistrering av regplåten.”
I vissa P-hus registrerar kameror bilens ankomst och avfärd automatiskt genom att skanna nummerplåten, utan att parkeringen behöver loggas manuellt. Flashbackaren postar vad hen påstår är grannens P-kvitto, med exakt tid och plats, som hen fått skickat till sig genom att lägga in grannens registreringsnummer som sitt egna och vänta på att kameran skvallrar.
Reaktionerna låter inte vänta på sig. ”Herregud.” ”Vilken dröm för alla stalkers därute.” Användare vill kolla om samma sak fungerar i andra appar, och trådstartaren ser inte hur några bolag med automatisk kameraparkering skulle kunna komma runt problemet ”om de inte kräver att man skickar in registreringsbevis och kopplar bilen till en unik användare”. ”Anmäl till Integritetsskyddsmyndigheten omedelbums!” utbrister någon.
När jag ringer upp Integrationsmyndigheten (IMY) säger de sig inte känna till saken, men uppger att det ”låter märkligt” och att de ska höra av sig. Ett dygn senare återkommer myndigheten med nya besked – de senaste två dagarna har de fått in två tips och två klagomål angående Easypark. Myndigheten är skyldig att utreda alla anmälningar som kommer in.
Det bästa är att man kan spionera på vem som helst. Öppna appen, två knapptryck senare har du registrerat ett nytt fordon och kan börja kartlägga livet på din exfru, kanske.
– Det låter som att man kan spåra personer via den här appen, och det är generellt väldigt integritetskänsligt, säger Philippa Johanssen-Fritzin, juridisk rådgivare på IMY.
– Det är Easypark som är personuppgiftsansvarig här, och som måste vidta lämpliga och tillräckliga säkerhetsåtgärder, givet den information som behandlas i parkeringsappen. Men jag kan inte säga exakt vilka åtgärder de har eller behöver vidta, eftersom vi ännu inte har inlett någon utredning.
Easyparks presskontakt är sparsam med kommentarer, men skickar över bolagets användarvillkor för kameraparkering. Hon säger sig inte ha hört något än om de klagomål och tips IMY fått in.
– Det är ingenting vi har fått kännedom om. Skulle det vara något de vill ha en kommentar på från oss så förutsätter jag att de hör av sig.
I villkoren betonar man att detta är en överträdelse, både brottslig och grund för kontoavstängning. Man säger även att ett fordon inte kan vara aktiverat för kameraparkering på två konton samtidigt, och att denna typ av användning skulle leda till att den som registrerade bilen först skulle få en notis om att någon annan lagt till numret. Det låter betryggande, och än så länge är den konkreta bevisningen för något missbruk ganska tunn.
Men det finns mer än bara Flashbacksnack.
Inti De Ceukelaire hälsar knappt i luren när jag ringer upp, utan går rakt på sak. Som ”etisk hackare” ägnar han mycket tid åt att leta upp och exponera IT-säkerhetshål så att de kan täppas igen, som den gången han köpte upp döda hemsidor Donald Trump länkat till i gamla tweets och fick dem att visa något helt annat. Han drevs inte av speciellt politiska skäl, utöver möjligen att Trump hade förolämpat Bryssel, utan för att visa på risken med att det gick.
Den gränslösa, nördiga envisheten har tagit datasnillet ända in i Belgiens TV-rutor, där han i programmet Opgejaagd (”jagad”) fick hjälpa utsatta kvinnor att hitta sina nätstalkare. Under den tiden, någonstans i ett belgiskt parkeringshus, kläckte han en bekant idé.
– När jag själv testade systemet för kameraparkering med min bil tänkte jag, som hackare alltid gör: ”skulle någon kunna missbruka det här?” Tänk om en av förövarna till de jag arbetar med hade kunnat använda detta för att spåra dem? Det hade varit en allvarlig säkerhetsbrist.
Inti De Ceukelaire (bilden) ber om en väns registreringsnummer, och får mycket riktigt en notis i sin mobil, om att hon parkerat vid ett kasino och mellan två specifika klockslag. Han vänder sig nu till Twitter för nästa steg – ett storskaligt experiment. Exakt vad det går ut på berättar han inte för sina följare, bara att allt han behöver är deras nummerplåt.
120 bilägare ställer upp. Efter hundra dagar och några hundra euro har han lyckats spåra en tredjedel av bilarnas position. Hålet är bekräftat. Han har behövt betala parkeringsavgifterna för att få kvitton, men ger inte mycket för att det skulle vara nog för att avskräcka den som redan är beredd att begå brott.
– Nu är det för enkelt att koppla ett stulet kreditkort till det, och bli helt anonym. Det finns superobehagliga möjligheter! Jag kommer ihåg att jag skrev och frågade någon om de var okej, efter att jag såg att de parkerat vid sjukhuset. De svarade ”ja, vadå? Jag hälsar på min farmor”.
Experimentet fick hackaren att skapa sidan notmyplate.com, där man kan fylla i sitt registreringsnummer och skicka in en GDPR-förfrågan för att blockera denna typ av autoskanning. Många häpna och oroade reaktioner trillade in från studiens deltagare, och en integritetsdebatt började bubbla. Men responsen från företagen var sval, menar Inti de Ceukelaire.
– Det är fortfarande ett problem. Parkeringsapparna tog inte ansvar för att att ändra något. Jag skapade lite surr i Belgien med detta, även på politisk nivå, men det dog ut. Sedan dess har problemet bara blivit större, antalet parkeringshus som stödjer kameraparkering har mångdubblats.
Inti De Ceukelaire laddar ned appen under samtalet, och konstaterar att det mesta fortfarande ser likadant ut, förutom att du nu måste intyga – med ett extra knapptryck – att numret faktiskt tillhör en bil du äger. Att tänka ”som hackare nog alltid gör”, i Intis mening, innebär ofta att fundera ut hur otrevliga, omoraliska och olagliga aktörer kan tänkas interagera med världen. Arbetssättet kan ge honom blandade känslor.
– Jag har dåligt samvete över att jag kanske ger dåliga människor dåliga idéer, men ibland måste man blotta ett problem för att ha en chans att förändra det.
Jag parkerar Volvon, hyrd via appen Volvo On Demand, i sitt ursprungsgarage – bredvid en Porsche Cayenne med punktering på alla fyra däck, täckt i ett tjockt lager damm där folk klottrat snoppar och favoritfotbollslag under lång tid. Sensorn som ska öppna bommen på väg in och ut verkar vara trasig, och jag får åt båda hållen trycka på support-knappen och vänta på att mänsklig personal öppnar för mig manuellt.
Ibland måste man blotta ett problem för att ha en chans att förändra det.
För ynka 35 spänn, och med hyrbilens registreringsnummer, har min ”stalker” just fått veta precis var jag är. I Inti De Ceukelaires studie kostade det honom i genomsnitt åtta euro, närmare 90 kronor, att spåra en parkering. Han gjorde det tydligt under intervjun vad han ansåg om den prislappen som garanti för säkerhet:
– Tänk om jag vill råna dig, och vet att du har en väldigt fin bil eller något dyrt i den? Att betala någon åtta euro för att få veta var deras bil är parkerad är ganska värt det, ifall du också tänker sno bilen.
Hade jag inte kollat mitt bankkonto efter att jag kört ut, och antagit att ” auto” i appens namn Autopay faktiskt betydde att jag inte behövde godkänna något manuellt, hade jag inte heller på något sätt kunnat veta att min vän fått kvittot. Jag har genomfört Intis experiment, och bevisat att bristen fortfarande i högsta grad finns – visserligen inte i Easypark, som har få anläggningar med kameraparkering just i Stockholm, utan i den snarlika appen Autopay. Att exakt samma hål gick att hitta hos ett helt annat företag tyder på större problem med sektorns säkerhetsstandard.
Jag låser Volvon med ännu ett Bluetooth-klick, avslutar hyrtiden, och lämnar P-huset till fots på väg mot tunnelbanan. Förhoppningsvis utan en faktisk stalker i hasorna.
