В эпоху неуправляемых баллистических снарядов возникла поговорка, что «в одну воронку дважды бомба не падает». С тех пор появились боеприпасы, с корректируемой траекторией полета, а поговорка стала символизировать надежду на то, что люди могут учиться на чужих ошибках, и дважды epic fail по одному и тому же сценарию произойти не сможет. Однако, как говорится, «никогда такого не было, и вот опять»…
Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса. Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения.
Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее.
После скандала со Strava исследовательская группа Bellingcat вместе с нидерландским изданием De Correspondent анализировала работу других фитнес-сервисов и обнаружила, что масштабы паразитной утечки секретных данных сервиса Polar Flow еще грандиознее.
Polar Flow — это приложение, которое позволяет отслеживать и анализировать ежедневную физическую активность, расходуемые калории, длительность тренировок и пройденную дистанцию. При этом разработчики подали его как социальную платформу, с помощью которой пользователи могут, в том числе, делиться маршрутами своих беговых и пеших тренировок.
В частности, вся активность отображается на карте под названием Explore. Отображая все тренировки на одной карте, Polar не только раскрывает некоторые медицинские показатели, маршруты, даты, время и длительность упражнений пользователей, но и координаты их места жительства и работы — пользователи, как правило, включают свои фитнес-трекеры при выходе из дома, тем самым раскрывая места своих жительств на карте открытым текстом.
Отследить информацию было довольно просто даже неквалифицированному любителю чужих тайн прямо на сайте: нужно найти объект недвижимости с особым статусом (уже известный вам или заботливоскрытый подсвеченный черным квадратом на онлайн-картах по требованию государства), выбрать один из треков «спортсменов» по близости, определить связанный с треком пробежки профиль и посмотреть, где еще этот пользователь тренируется.
Так вы сможете найти другие интересные места, применив минимальные дедуктивные способности. Чем больше спортсменов вы проанализируете, тем больше конфиденциальной информации сможете в конечном итоге собрать.В своих профилях пользователи часто указывают настоящие ФИО, фотографии, даже если они не подключали свой профили из других соцсетей к записи в Polar.
Аналитики Bellingcat пошли гораздо дальше и взялись за API для разработчиков. Выяснилось, что через него потенциальный злоумышленник мог с еще большим удобством просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. API не имел ограничений на число обращений, поэтому практически любой желающий мог собрать информацию о миллионах пользователей Polar Flow и подвергнуть ее дата-майнингу.
Трек человека из здания британского агенства MI6, изображение De Correspondent
После того как журналисты связались с Polar, компания принесла официальные извинения и сообщила, что отключила функционал слежения и уже разбирается с проблемой.
Однако, по аналогии с «утечкой» «гуглдоков» через Яндекс.Поиск, Polar заявила, что не считает утечку действительно серьезной:
В свою очередь исследователи Bellingcat высказали свои опасения:
Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса. Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения.
Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее.
После скандала со Strava исследовательская группа Bellingcat вместе с нидерландским изданием De Correspondent анализировала работу других фитнес-сервисов и обнаружила, что масштабы паразитной утечки секретных данных сервиса Polar Flow еще грандиознее.
Polar Flow — это приложение, которое позволяет отслеживать и анализировать ежедневную физическую активность, расходуемые калории, длительность тренировок и пройденную дистанцию. При этом разработчики подали его как социальную платформу, с помощью которой пользователи могут, в том числе, делиться маршрутами своих беговых и пеших тренировок.
В частности, вся активность отображается на карте под названием Explore. Отображая все тренировки на одной карте, Polar не только раскрывает некоторые медицинские показатели, маршруты, даты, время и длительность упражнений пользователей, но и координаты их места жительства и работы — пользователи, как правило, включают свои фитнес-трекеры при выходе из дома, тем самым раскрывая места своих жительств на карте открытым текстом.
Отследить информацию было довольно просто даже неквалифицированному любителю чужих тайн прямо на сайте: нужно найти объект недвижимости с особым статусом (уже известный вам или заботливо
Так вы сможете найти другие интересные места, применив минимальные дедуктивные способности. Чем больше спортсменов вы проанализируете, тем больше конфиденциальной информации сможете в конечном итоге собрать.В своих профилях пользователи часто указывают настоящие ФИО, фотографии, даже если они не подключали свой профили из других соцсетей к записи в Polar.
Аналитики Bellingcat пошли гораздо дальше и взялись за API для разработчиков. Выяснилось, что через него потенциальный злоумышленник мог с еще большим удобством просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. API не имел ограничений на число обращений, поэтому практически любой желающий мог собрать информацию о миллионах пользователей Polar Flow и подвергнуть ее дата-майнингу.
Трек человека из здания британского агенства MI6, изображение De Correspondent
После того как журналисты связались с Polar, компания принесла официальные извинения и сообщила, что отключила функционал слежения и уже разбирается с проблемой.
Однако, по аналогии с «утечкой» «гуглдоков» через Яндекс.Поиск, Polar заявила, что не считает утечку действительно серьезной:
Важно понимать, что никакой утечки данных, в том числе личных, не было. На данный момент у большинства пользователей Polar выставлены приватные настройки конфиденциальности, поэтому на них проблема никак не распространяется. Делиться ли данными о тренировках и местоположении — выбор каждого пользователя, но мы уведомлены, что информация о потенциально секретных местах оказалась публичной, поэтому решили временно закрыть Explore API.
В свою очередь исследователи Bellingcat высказали свои опасения:
В некоторых странах солдатам было запрещено носить форму на улице, чтобы их не могли вычислить потенциальные противники — а теперь их адреса и привычки может узнать любой человек с доступом в интернет и смекалкой, как правильно использовать сайт Polar. Легко выяснить время развертывания [воинского подразделения], место жительства, фотографию и роль солдата в зоне конфликта. Не нужно много воображения, для осознания, как эту информацию могут использовать экстремисты или государственные разведывательные службы
Only registered users can participate in poll. Log in, please.
Пользуетесь ли вы публичным сервисом для отслеживания своих спортивных достижений?
13.97% да, через приложение119
7.98% да, через специальный девайс или гаджет68
3.29% перестал с недавних пор28
63.03% не пользовался537
11.74% использую off-line устройство или приложение100
852 users voted. 111 users abstained.