Фітнес-додаток Polar дозволяв простежити за співробітниками секретних об'єктів

bellingcat.com

У розслідуванні Bellingcat і De Correspondent повідомили, що сервіс демонстрував у відкритому доступі показники серцевих скорочень користувачів, їхні маршрути (через GPS), дати, час, тривалість і темп вправ.

Додаток Polar Flow є свого роду соцмережею, де користувачі діляться своїми результатами. Журналісти стверджують, що цей ресурс публікував більше даних про кожного користувача, ніж інші фітнес-сервіси. Адже компанія об'єднала записи про всі виконані вправи своїх юзерів з 2014 року на спільній мапі світу. Завдяки цьому вдалося вкотре довести й наявність російських військових у Криму.

Як можна довідатися про локацію з Polar?

Під час реєстрації акаунту Polar просить юзера надати ім'я, місцезнаходження, зріст, вагу, дату народження, стать та кількість тренувань на тиждень. 

Аби відстежити інформацію про певного користувача, наприклад, співробітника воєнної бази, потрібно зробити кілька кроків. Спершу знайти сам воєнний об'єкт на карті, після цього  — натиснути на іконку про вправу, яку на цій локації хтось виконав. Це дозволить визначити профіль користувача. Тож лишається тільки подивитися, де ще ця людина регулярно тренується.

Оскільки люди мають звичку вмикати трекер, виходячи з дому й вимикати, поветаючись туди після роботи, ідентифікувати їхні помешкання не складно. Таким чином журналісти дізналися про домівки кількох американських військових, які були зареєстровані в Polar Flow під своїми іменами. Деякі юзери також додають до акаунтів свої фото.

Кого відстежили журналісти?

З мапи Polar медійниками вдалося дізнатися про перебування персоналу воєнних об'єктів, баз ядерної зброї, співробітників спецслужб і посольств, а також військових, які спеціалізуються на кібербезпеці, протиракетній обороні, працівників підводних човнів і співробітників атомних електростанцій.

Також автори публікації ідентифікували американські війська в зеленій зоні в Багдаді, російських солдатів в Криму, військовий персонал в затоці Гуантанамо, війська поблизу кордону з Північною Кореєю та інші підрозділи.

Розслідувачі Bellingcat і De Correspondent переконані, що ця інформація в відкритому доступі становила небезпеку, адже нею можуть скористатися екстремісти та іноземна розвідка. На думку журналістів, під загрозою опиняються не лише співробітники секретних установ, а й цивільні громадяни, оскільки Polar показує, коли вони не вдома чи вирушили за кордон.

Реакція компанії

Після публікації компанія Polar публічно визнала проблему й чутливість виявлених даних своїх користувачів. Сервіс вирішив тимчасово призупинити функцію, що дозволяє їх відслідковувати. Polar також заявила, що працює над введення можливості юзера видалити історію його тренувань.

Як убезпечитися, якщо хочеш фіксувати тренування?

Розслідувачі, які викрили вразливість Polar, радять перевіряти, на що просить дозвіл додаток, спробувати  анонімізувати свою присутність у сервісі, а також розпочинати та завершувати сеанси користування трекером в публічному місці, а не на вході в домівку. 

Нагадаємо, у січні завдяки іншому фітнес-трекеру Strava знайшли розташування військових баз США. Цей додаток за два роки через GPS зібрав дані про маршрути 27 мільйонів бігунів, велосипедистів та інших користувачів. Після цього викриття американські військові переглянули свої правила щодо користування фітнес-трекерами.

Раніше MediaSapiens детально писав про те, як оцінити ризики для своєї цифрової безпеки. Серед іншого, в цьому матеріалі згадувалися й фітнес-трекери та дані, які вони збирають щодо користувачів.

comments powered by Disqus