В эпоху неуправляемых баллистических снарядов возникла поговорка, что «в одну воронку дважды бомба не падает». С тех пор появились боеприпасы, с корректируемой траекторией полета, а поговорка стала символизировать надежду на то, что люди могут учиться на чужих ошибках, и дважды epic fail по одному и тому же сценарию произойти не сможет. Однако, как говорится, «никогда такого не было, и вот опять»…
Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса. Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения.
Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее.
 |
| Карта, составленная на основе данных фитнес-сервиса. |
| Источник: habrastorage.org |
После скандала со Strava исследовательская группа Bellingcat вместе с нидерландским изданием De Correspondent анализировала работу других фитнес-сервисов и обнаружила, что масштабы паразитной утечки секретных данных сервиса Polar Flow еще грандиознее.
Polar Flow — это приложение, которое позволяет отслеживать и анализировать ежедневную физическую активность, расходуемые калории, длительность тренировок и пройденную дистанцию. При этом разработчики подали его как социальную платформу, с помощью которой пользователи могут, в том числе, делиться маршрутами своих беговых и пеших тренировок.
В частности, вся активность отображается на карте под названием Explore. Отображая все тренировки на одной карте, Polar не только раскрывает некоторые медицинские показатели, маршруты, даты, время и длительность упражнений пользователей, но и координаты их места жительства и работы — пользователи, как правило, включают свои фитнес-трекеры при выходе из дома, тем самым раскрывая места своих жительств на карте открытым текстом.
 |
| Карта, составленная на основе данных фитнес-сервиса. |
| Источник: habrastorage.org |
Отследить информацию было довольно просто даже неквалифицированному любителю чужих тайн прямо на сайте: нужно найти объект недвижимости с особым статусом (уже известный вам или заботливо скрытый подсвеченный черным квадратом на онлайн-картах по требованию государства), выбрать один из треков «спортсменов» по близости, определить связанный с треком пробежки профиль и посмотреть, где еще этот пользователь тренируется.
 |
| Карта, составленная на основе данных фитнес-сервиса. |
| Источник: habrastorage.org |
Так вы сможете найти другие интересные места, применив минимальные дедуктивные способности. Чем больше спортсменов вы проанализируете, тем больше конфиденциальной информации сможете в конечном итоге собрать.В своих профилях пользователи часто указывают настоящие ФИО, фотографии, даже если они не подключали свой профили из других соцсетей к записи в Polar.
 |
| Карта, составленная на основе данных фитнес-сервиса. |
| Источник: habrastorage.org |
Аналитики Bellingcat пошли гораздо дальше и взялись за API для разработчиков. Выяснилось, что через него потенциальный злоумышленник мог с еще большим удобством просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. API не имел ограничений на число обращений, поэтому практически любой желающий мог собрать информацию о миллионах пользователей Polar Flow и подвергнуть ее дата-майнингу.
 |
| Трек человека из здания британского агенства MI6. |
| Источник: De Correspondent |
После того как журналисты связались с Polar, компания принесла официальные извинения и сообщила, что отключила функционал слежения и уже разбирается с проблемой.
Однако, по аналогии с «утечкой» «гуглдоков» через Яндекс.Поиск, Polar заявила, что не считает утечку действительно серьезной:
Важно понимать, что никакой утечки данных, в том числе личных, не было. На данный момент у большинства пользователей Polar выставлены приватные настройки конфиденциальности, поэтому на них проблема никак не распространяется. Делиться ли данными о тренировках и местоположении — выбор каждого пользователя, но мы уведомлены, что информация о потенциально секретных местах оказалась публичной, поэтому решили временно закрыть Explore API
В свою очередь исследователи Bellingcat высказали свои опасения: