Спортивное приложение стало причиной утечки данных израильских военных
Неизвестные оперативники использовали приложение для отслеживания физической формы Strava, чтобы отслеживать передвижения военнослужащих Израиля по секретным базам по всей стране, 21 июня пишет The Guardian.
Размещая несуществующие в реальности беговые зоны внутри военных баз, приложение смогло следить за людьми, которые тренировались на территории баз, включая тех, кто применил самые строгие настройки конфиденциальности учетной записи фитнес-трекера.
В частности, в качестве примера бреши в безопасности приложения, Guardian рассказывает о том, что пользователь, работающий на сверхсекретной базе и имеющий связи с израильской ядерной программой, легко может быть отслежен на других военных базах и в иностранном государстве.за рубежом.
Дополнительная функция приложения была обнаружена израильским разведывательным агентством FakeReporter. Исполнительный директор группы Ахия Шац сказал: «Мы связались с израильскими силами безопасности, как только узнали об этом нарушении безопасности. Получив разрешение от сил безопасности на продолжение, FakeReporter связался со Strava, и они сформировали группу высшего руководства для решения проблемы».
Инструменты отслеживания Strava предназначены для того, чтобы каждый мог определять и конкурировать за «сегменты», велосипедный дорожки или участки для бега, подходящие для регулярных соревнований, например, длинный подъем в гору на популярном велосипедном маршруте или одиночный круг в парке. Пользователи могут определить сегмент после его загрузки из приложения Strava, но также могут загружать записи GPS из других сервисов.
Однако разработчики Strava не предусмотрели возможности отслеживать, являются ли эти загрузки GPS законными, и позволяет любому определить сегмент путем загрузки, даже если он не был в месте, которое отслеживает. На самом деле, некоторые загруженные фрагменты были сгенерированы искусственно, и имели нереалистичные показатели средней скорости в сотни километров в час, неестественно прямыми линиями и неожиданно вертикальными маршрутами вверх по скалам.
Некоторые из этих поддельных маршрутов могли быть использованы для махинаций в соревнованиях, но, как пишет издание, по крайней мере один набор карт, похоже, имеет более злонамеренную цель.
Анонимный пользователь, указав свое местонахождение как «Бостон, Массачусетс», создал серию поддельных сегментов в ряде военных учреждений в Израиле, включая аванпосты разведывательных служб страны и высокозащищенные базы, которые, как считается, связаны с ее ядерной программой.
«Используя возможность загружать сконструированные файлы, раскрывая данные о пользователях в любой точке мира, враждебные элементы сделали еще один тревожный шаг к использованию популярного приложения с целью нанести ущерб безопасности граждан и стран», –– сказал Шац.
Подход с поддельным сегментом также обходит некоторые настройки конфиденциальности Strava. Пользователи могут настроить свои профили так, чтобы их видели только «подписчики», что предотвращает отслеживание их перемещений во времени посторонними глазами. Но если они также не настроят активную защиту каждого отдельного запуска, то их изображение профиля, имя и инициалы будут отображаться в сегментах, которые они запускали в целях дружеского соревнования.
При наличии достаточного количества сегментов, разбросанных по карте, конкретных людей все же можно идентифицировать: один пользователь, например, отследил их участие в публично заявленной гонке, в которой они выиграли, а также бег в охраняемых военных учреждениях.
В заявлении компании-разработчика говорится: «Мы очень серьезно относимся к вопросам конфиденциальности и были проинформированы израильской группой FakeReporter о проблеме участка, касающегося конкретной учетной записи пользователя, и предприняли необходимые шаги для исправления этой ситуации».
«Мы даем каждому спортсмену возможность сделать свой собственный выбор конфиденциальности. Для получения дополнительной информации обо всех наших элементах управления конфиденциальностью посетите наш центр конфиденциальности, поскольку мы рекомендуем всем спортсменам уделить время тому, чтобы их выбор в Strava соответствовал их предполагаемому опыту», — говорится в заявлении компании.
Напомним, в 2018 году произошел аналогичный скандал, когда новая функция Strava опубликовала визуализацию всей активности на платформе фитнес-трекера по всему миру. Тепловая карта показала популярные беговые, велосипедные и плавательные маршруты, а в объявлении Strava было подчеркнуто, что ее можно использовать для определения таких мест, как маршрут триатлона Ironman на Гавайях.
Но он также проложил маршруты, которые были менее общедоступны: расположение и схема нескольких военных баз в провинции Гильменд, Афганистан, были хорошо видны, как и популярное место для купания на открытом воздухе рядом с Королевскими ВВС Маунт-Плезант на Фолклендских островах. Карта даже зафиксировала маршрут одинокого велосипедиста в Зоне 51, штат Невада, где расположено подразделение военно-воздушной базы Эдвардс.
Некоторые перемещения пользователей были отслежены с тревожными подробностями: одного военнослужащего ВВС США можно было отследить от тура в Джибути, где он пробежал 7-километровую петлю взлетно-посадочной полосы, до авиабазы в Германии.