Войти

Фитнес-сервис вновь «сдал все явки» правительств, военных и спецслужб

2675
0
0

В эпоху неуправляемых баллистических снарядов возникла поговорка, что «в одну воронку дважды бомба не падает». С тех пор появились боеприпасы, с корректируемой траекторией полета, а поговорка стала символизировать надежду на то, что люди могут учиться на чужих ошибках, и дважды epic fail по одному и тому же сценарию произойти не сможет. Однако, как говорится, «никогда такого не было, и вот опять»…


Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса. Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения.


Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее.


Карта, составленная на основе данных фитнес-сервиса.
Источник: habrastorage.org

После скандала со Strava исследовательская группа Bellingcat вместе с нидерландским изданием De Correspondent анализировала работу других фитнес-сервисов и обнаружила, что масштабы паразитной утечки секретных данных сервиса Polar Flow еще грандиознее.


Polar Flow — это приложение, которое позволяет отслеживать и анализировать ежедневную физическую активность, расходуемые калории, длительность тренировок и пройденную дистанцию. При этом разработчики подали его как социальную платформу, с помощью которой пользователи могут, в том числе, делиться маршрутами своих беговых и пеших тренировок.


В частности, вся активность отображается на карте под названием Explore. Отображая все тренировки на одной карте, Polar не только раскрывает некоторые медицинские показатели, маршруты, даты, время и длительность упражнений пользователей, но и координаты их места жительства и работы — пользователи, как правило, включают свои фитнес-трекеры при выходе из дома, тем самым раскрывая места своих жительств на карте открытым текстом.


Карта, составленная на основе данных фитнес-сервиса.
Источник: habrastorage.org

Отследить информацию было довольно просто даже неквалифицированному любителю чужих тайн прямо на сайте: нужно найти объект недвижимости с особым статусом (уже известный вам или заботливо скрытый подсвеченный черным квадратом на онлайн-картах по требованию государства), выбрать один из треков «спортсменов» по близости, определить связанный с треком пробежки профиль и посмотреть, где еще этот пользователь тренируется.


Карта, составленная на основе данных фитнес-сервиса.
Источник: habrastorage.org

Так вы сможете найти другие интересные места, применив минимальные дедуктивные способности. Чем больше спортсменов вы проанализируете, тем больше конфиденциальной информации сможете в конечном итоге собрать.В своих профилях пользователи часто указывают настоящие ФИО, фотографии, даже если они не подключали свой профили из других соцсетей к записи в Polar.


Карта, составленная на основе данных фитнес-сервиса.
Источник: habrastorage.org

Аналитики Bellingcat пошли гораздо дальше и взялись за API для разработчиков. Выяснилось, что через него потенциальный злоумышленник мог с еще большим удобством просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. API не имел ограничений на число обращений, поэтому практически любой желающий мог собрать информацию о миллионах пользователей Polar Flow и подвергнуть ее дата-майнингу.


Трек человека из здания британского агенства MI6.
Источник: De Correspondent

После того как журналисты связались с Polar, компания принесла официальные извинения и сообщила, что отключила функционал слежения и уже разбирается с проблемой.


Однако, по аналогии с «утечкой» «гуглдоков» через Яндекс.Поиск, Polar заявила, что не считает утечку действительно серьезной:

Важно понимать, что никакой утечки данных, в том числе личных, не было. На данный момент у большинства пользователей Polar выставлены приватные настройки конфиденциальности, поэтому на них проблема никак не распространяется. Делиться ли данными о тренировках и местоположении — выбор каждого пользователя, но мы уведомлены, что информация о потенциально секретных местах оказалась публичной, поэтому решили временно закрыть Explore API


В свою очередь исследователи Bellingcat высказали свои опасения:

В некоторых странах солдатам было запрещено носить форму на улице, чтобы их не могли вычислить потенциальные противники — а теперь их адреса и привычки может узнать любой человек с доступом в интернет и смекалкой, как правильно использовать сайт Polar. Легко выяснить время развертывания [воинского подразделения], место жительства, фотографию и роль солдата в зоне конфликта. Не нужно много воображения, для осознания, как эту информацию могут использовать экстремисты или государственные разведывательные службы
Права на данный материал принадлежат
Материал размещён правообладателем в открытом доступе
  • В новости упоминаются
Хотите оставить комментарий? Зарегистрируйтесь и/или Войдите и общайтесь!
ПОДПИСКА НА НОВОСТИ
Ежедневная рассылка новостей ВПК на электронный почтовый ящик
  • Разделы новостей
  • Обсуждаемое
    Обновить
  • 04.06 06:52
  • 9198
Без кнута и пряника. Россия лишила Америку привычных рычагов влияния
  • 04.06 06:48
  • 128
Будущее за тяжелыми "противоснарядными" БМП весом в 55 тонн
  • 04.06 06:08
  • 0
О новой ситуации, возникшей после атаки на аэродромы стратегической авиации РФ
  • 04.06 03:23
  • 1
Германия в третий раз становится подстрекательницей мировой войны (infoBRICS, Китай)
  • 04.06 02:27
  • 2
И еще о "Пантере", и об Internet'е
  • 04.06 01:58
  • 3
Новая программа вооружений может предусматривать до 10 БДК проекта 11711
  • 03.06 19:48
  • 3
МС-21 с новыми российскими моторами и системами отлично показал себя в полёте, летчики довольны
  • 03.06 15:35
  • 1
В Турции спустили на воду третью подлодку с анаэробным двигателем
  • 03.06 13:48
  • 2
Дроны ВСУ впервые атаковали Сибирь. Они вылетали из фуры, чтобы ударить по аэродрому
  • 03.06 13:40
  • 2
"Ростех" сообщил о создании линейки самолетов для военно-транспортной авиации
  • 03.06 13:33
  • 1
Есть нюанс: почему так и не построили укрытия для стратегических и дальних бомбардировщиков ВКС РФ
  • 03.06 13:25
  • 2
Вэсэушники жалуются на применение новых крылатых дронов на базе "Дань-М"
  • 03.06 12:35
  • 21
Зачем и без того мощной авиационной ракете «ядерная» модернизация?
  • 03.06 09:26
  • 1
По поводу "Пантеры" и Т-34
  • 03.06 05:32
  • 0
В связи с обсуждением БДК: интересная статья от января 2024 г.