Военный и разведывательный персонал можно отслеживать с помощью приложения Untappd Beer

Автор оригинала: Foeke Postma
  • Перевод

Кто бы мог подумать. С помощью приложения Untappd (пользователи выставляют рейтинг пива) можно отследить историю перемещения военнослужащих. Эта социальная сеть насчитывает более восьми миллионов пользователей — в основном из Европы и Северной Америки. Её функции позволяют раскрывать конфиденциальную информацию о пользователях, служащих в военных и разведывательных подразделениях по всему миру.

Готовность пропустить бокал-другой военнослужащим или использование им социальных сетей — само по себе это вряд ли кому интересно. Однако пользователи Untappd регистрируют сотни, зачастую тысячи географических меток с указанием времени, когда они там были. Эти места аккуратно отсортированы по более чем 900 категориям, столь же разнообразным сколь и конкретизирующим, например, «Ботанический сад», «Стриптиз-клуб», «Гей-бар», «Ресторан западноукраинской кухни» или «Зал ожидания в аэропорту». В результате чего приложение позволяет любому отслеживать перемещение других пользователей между интересными местами — а также их любимыми барами, отелями, ресторанами, районами, а иногда даже частными домами.

Среди примеров пользователей, которых можно отследить таким образом: диспетчер американских беспилотников (а также вычисляется список посещённых им военных баз, как в США, так и за их пределами); военно-морской офицер (отметившийся в приложении, находясь на пляже рядом с тюрьмой Гуантанамо, а также нескольких раз поблизости от Пентагона); старший офицер разведки (активность в приложении зафиксирована более 7 тысяч раз, как в США так и за рубежом). Есть там и старшие должностные лица в Министерстве обороны США и ВВС США.
EDISON Software - web-development
По части разведки (геологической, не военной) мы в EDISON тоже не лыком шиты.


Мы разработали «AmberLight» — это программа для сейсмогеологического моделирования нефтяных и газовых месторождений на основе интерпретации данных сейсморазведки.

В зависимости от задач и имеющихся данных, сейсмомодели строятся разными методами — триангуляция Делоне, метод ближайшего соседа, крикинг, многоуровневые B-сплайны и пр.



Сопоставив эти регистрации с другими социальными сетями, во многих случаях легко найти дома этих людей. Их профили и фотографии, которые они публикуют, также раскрывают их семьи, друзей, коллег.

По причинам, объяснённым ниже, трудно оценить общее количество людей, которых можно отследить таким образом. Тем не менее, такие места, как военные базы, могут легко посещать сотни уникальных посетителей приложения, а за пределами Европы, Северной Америки и Ближнего Востока пользователей-военных можно найти в таких местах, как Гренландия, Нигер и Южная Корея.

Уровень активности варьируется в зависимости от местоположения. В некоторых местах в настоящее время много активных пользователей, в других же — последнее посещение зарегистрировано несколько лет назад. Например, местоположение сотрудника Blackwater в Северной Каролине. Даже неактивные местоположения могут многие рассказать о посетителях и их социальных связях.

Ниже приведены примеры страниц местоположения и истории мест, посещённых пользователем. Слева находится страница размещения авиабазы «Ramstein», на которой отмечено около 600 уникальных посетителей, более 2600 раз проголосовавших за пиво. Справа — небольшая часть истории отметок одного пользователя, во время его перемещений по Афганистану, включая посещение им бара посольства Соединенных Штатов в Кабуле под названием «Duck and Cover» и других мест. У этого пользователя также есть тысячи других отметок, распределённых по сотням различных точек земного шара.


Слева: страница с местом базирования авиабазы «Ramstein» в приложении Untappd.
Справа: часть истории отметок пользователя.


Чтобы получить доступ к этой информации, то есть для того, чтобы найти людей, работающих в различных военных и разведывательных организациях, и отследить их общее местонахождение, — нужно немного покопаться в приложении Untappd и сопоставить данные с другими социальными сетями.

Untappd


На первый взгляд данные Untappd могут показаться бесполезными, поскольку отметки не являются строгими, то есть пользователи могут свободно регистрироваться на расстоянии до 60 миль от фактического местоположения. Это также создаёт проблему, когда речь идёт об известных местах в более населенных районах. Например, в штаб-квартире АНБ и МИ-6 было много отметок со стороны пользователей, которые находились поблизости, но, вероятно, не находились внутри этих зданий.

Кроме того, может не так уж и много мест, представляющих интерес, поскольку в поиске Untappd только перечислены такие места, как отели, бары и рестораны, а места, отмеченные, например, как «правительственное здание» или «военная база» в списке отсутствуют. Ещё более усложняет то, что одно географическое место может иметь несколько отдельных страниц в Untappd, а также одна страница, может соответствовать нескольким точкам. Это затрудняет оценку того, сколько пользователей отметились в целом в конкретном месте. Например, две страницы обозначены как «Пентагон», а также есть отдельные страницы для внутреннего двора Пентагона (Pentagon’s courtyard), E-кольца (E-ring) и других локаций, относящихся к пятиугольному зданию. Эти местоположения нужно выискивать с помощью функции поиска Untappd.

image

Слева: отображение карты при поиске по запросу «The Pentagon».
Справа: результаты поиска по запросу «The Pentagon»


Учитывая эти проблемы, как же все-таки можно найти действительно значимые правительственные места, а также лиц, которые на самом деле их посещали?

Вот как работает приложение: когда пользователи пьют пиво, они могут «отметиться» в Untappd, сфотографировав свой напиток и указав свое местоположение, а также дату и время. При выборе местоположения доступны только бары, рестораны и магазины. Однако, как только вы начинаете процесс голосования за пиво, Untappd позволяет выбрать больше мест.

Места имеют свои собственные профили, показывающие всех пользователей, которые зарегистрировались там, а также дату и время их регистрации. Эти местоположения взяты из API Foursquare и имеют достаточно высокий уровень категоризации. Поиск конкретных военных локаций не даёт результатов. Тем не менее, найдя военнослужащих, можно обнаружить военные локации.

Давайте возьмём военный учебный лагерь Camp Peary, широко известный как «Ферма». В этом месте размещаются учебные центры для сотрудников ЦРУ и РУМО (Разведывательное управление Министерства обороны США), а также взлётно-посадочная полоса, которая, по некоторым данным, использовалась для полётов, совершаемых с целью принудительной передачи.

Начав с простого поиска в Untappd и Google, легко находим посадочную полосу в Camp Peary. Однако самого лагеря Camp Peary нет в поиске даже на гугл-картах. Вероятная причина этого заключается в том, что взлётно-посадочная полоса проходит по категории «аэропорт», а не как «военная база». Глядя на результаты, можно предположить, что в случае с Camp Peary просто невозможно отметиться в таком местоположении в Untappd.


Слева: результаты поиска по запросу «Camp Peary»

Если на картах Foursquare и Untappd перейти туда, где фактически находится Camp Peary, можно убедиться, что ни в одном из приложений не зарегистрировано местоположение самого лагеря.


В Untappd (слева) и Foursquare (справа) карты в месте расположения Camp Peary не показывают саму базу.


Если в приложениях Untappd (слева) и Foursquare (справа) поискать по запросу «Camp Peary», то поиск не даст результатов.

Однако, если в Foursquare поищем «Camp Peary» непосредственно в списках мест, получаем следующие результаты:


Обратите внимание, что Foursquare теперь даёт результат для Camp Peary (хотя местоположение не содержит полезной информации). Мы также можем видеть, что местоположение Camp Peary теперь появилось и на карте Foursquare, которая была пустой во время наших предыдущих поисков.

Что ещё интереснее, Foursquare показывает Camp Peary, а Untappd — нет. Как помним, Untappd для всей информации о местах использует Foursquare. Untappd, по-видимому, активно скрывает из результатов поиска некоторые категории местоположений, включая такую как «Военные базы».

Тем не менее, есть еще один способ поиска в Untappd: на странице голосования за пиво. Когда пользователи регистрируют свой напиток, Untappd может использовать местоположение самого гаджета, и предлагает для регистрации другие места поблизости. Если мы ложно установим наше местоположение в окрестностях Camp Peary и начнём процесс регистрации пива, внезапно окажется, что Untappd в курсе о существовании военной базы.


Расположение лагеря «Camp Peary» обнаруживается, если отметиться в приложении.

Если вы пользуетесь приложением, то перед следующим шагом убедитесь, что ваша учетная запись настроена как «приватная».

После завершения голосования, вы увидите пиво на вашей временно́й шкале, а также ссылку на страницу географической точки Camp Peary в приложении. На данной странице мы можем найти временны́е шкалы других пользователей, которые там регистрировались, а также сделанные ими фотографии, связанные с этим местоположением.


Страница места Camp Peary в приложении.

Как видим, в Camp Peary отметились несколько уникальных профайлов. Однако, пока что неясно: может, эти пользователи случайно наткнулись на место Camp Peary в поиске, когда они находились просто поблизости, и зарегистрировались шутки ради? Или же они использовали наш метод и преднамеренно подделали в приложении своё местоположение, чтобы иметь возможность указать фактическое место своего пребывания? Итак, как можно проверить, были ли отметившиеся пользователи на самом деле там?

Геолокация


Лучший способ определить, действительно ли пользователь находился в том месте, где он отметился, — посмотреть на сделанные снимки. Untappd рекомендует пользователям загружать фотографии своих пивных бутылок, чтобы идентифицировать напитки, и эти фотографии иногда содержат фоновые подсказки. Эти фоновые подсказки позволяют точно вычислить географические координаты для мест на этих изображениях, что позволяет проверить, не соврал ли пользователь при выборе места во время загрузки фотографии.

Продолжая использовать Camp Peary в качестве нашего примера, видим, что фотографии были опубликованы человеком, который авторизовывался три раза. Благодаря геолокации можно сопоставить элементы на снимке со спутниковыми изображениями зданий на военной базе. Также можно использовать данные профиля в Untappd, чтобы подтвердить личность человека, сопоставив имя пользователя и изображение профиля с другими социальными сетями.


Геолокация бутылки пива на фоне группы зданий в Camp Peary


Вид сверху зданий в Camp Peary, рядом с рекой Йорк, штат Вирджиния

История местоположений


Еще один способ проверить подлинность отметки — это изучить профиль пользователя. Профиль пользователя имеет временну́ю шкалу, а также список мест и список фотографий, загружаемых при каждой отметке. Временна́я шкала ограничена последними 365 записями, но список фотографий и список мест не ограничены, а это означает, что можно получить полную историю местоположений в которых зарегистрировался пользователь.

Список мест пользователя особенно полезен, так как он может быть отфильтрован по категориям и отсортирован по частоте и дате посещения. Ниже вы можете увидеть (непроверенную) историю двух пользователей. Слева отфильтрованое по категории «Правительственные учреждения» и отсортировано по дате посещения. Справа отсортировано по «Наиболее часто», показывая любимые рестораны, отели и особняки (для домов в Foursquare указывается приблизительное местоположение, а не точное).


Слева: история мест пользователя, классифицированных как «Правительственные учреждения».
Справа: история мест пользователя, отсортированная по частоте отметок.


Это позволяет получить более высокую степень уверенности относительно регистрации пользователя, прежде чем проверять фотографии и сопоставлять с другими социальными сетями. Например, если пользователь несколько раз за долгое время посетил несколько военных локаций, находящихся на больших расстояниях друг от друга, — то с большей уверенностью можно говорить о том, что указаны истинные местоположения, чем в случае с пользователем, который там отметился лишь однажды.

Например, один пользователь, который зарегистрировался в Camp Peary, также отмечался и во многих военных точках по всему Ближнему Востоку — зарегистрировано 700+ отметок в 500+ уникальных местах. Подобная проверка для другого пользователя, который отметился возле тюрьмы Гуантанамо показывает, что он также несколько раз посещал Пентагон и другие военные объекты. Опять же, благодаря их истории регистрации и перекрёстным ссылкам с другими открытыми источниками, можно идентифицировать самого пользователя.

Другие места, которые эти пользователи отметили, дают очень широкую картину того, где они живут, как путешествуют, в каких местах часто бывают. Большинство их отметок сопровождаются фотографиями их напитков, иногда в кадр попадают их родные, друзья и коллеги.

Масштабирование


Благодаря истории местоположений пользователя, идентифицированного в военном объекте, становится возможным обнаруживать другие военные местоположения. Каждое новое местоположение может раскрывать других пользователей, и эти пользователи, в свою очередь, могут открывать новые военные местоположения.

Другими словами, вместо того, чтобы подделывать наше местонахождение для поиска военных объектов — можно использовать раннее вычисленных пользователей-военных, просматривая историю их локаций. Имейте в виду, что этот подход также имеет свои ограничения, поскольку пользователи могут быть ограничены определённым набором военных объектов в зависимости от рода занятий.

Если смотреть места на картах Untappd через Интернет-сайт, а не через мобильное приложение, то там есть списки «лояльных посетителей» — 15 лучших пользователей, которые чаще всего отмечаются в этом месте. Они являются идеальными кандидатами для сведения воедино информации о разных местах, поскольку вероятно, как-то привязаны к этим местам и будут активными пользователями, отмечающимися и в других местах. Это позволяет фиксировать связи между локациями.

Например, изучив пользователей, которые являются «лояльными посетителями» военных объектов в Нидерландах (голубые точки на карте) и определив другие военные объекты (красные точки), которые они посетили, можно анализировать возможные голландские военные связи по всему миру, включая места военных учений и миссий:


Карта военных баз, посещённых «лояльными посетителями» военных объектов в Нидерландах.

Сравнивая историю местоположений нескольких разных пользователей, можно идентифицировать невоенные объекты, которые они посещают вместе. Это и те же бары-рестораны, куда посетители ходят в обеденный перерыв, находящиеся вблизи важных объектов. В голландском примере можно определить курорт, куда солдаты отправлялись вскоре после миссии.

Социальная сеть для любителей выпить


Помимо обширной истории местоположений, Untappd работает также как любая другая социальная сеть. Пользователи могут публиковать сообщения, сопровождающие их авторизации, отмечать знакомых, получать лайки и добавлять друг друга в друзья. При регистрации необходимо указывать ник и полное имя. Хотя Untappd показывает только первую букву фамилии другим пользователям, при сопоставлении с ником часто можно раскрыть полное имя. Например, профиль Джона Доу может показывать «Джон Д. (Jdoe2002)» (имя + первая буква фамилии + ник). Кроме того, пользователи могут также подключить Twitter и Facebook к своим профилям в Untappd, что также способствует их деанонимизации.

Как и в любых социальных сетях, фотографии могут сами по себе давать дополнительную информацию. В Untappd фотографии, как правило, фокусируются, в основном, на столах и барных стойках, куда ставится бутылка для фото, при этом зачастую пользователи могут быть слегка (или не слегка) опьянёнными. Фотографируемая бутылка может стоять на рабочем столе, на котором могут лежать документы и билеты на самолёт, также время от времени на фото попадает оснащённая военная техника. Ниже приведены фотографии, сделанные на военных объектах.


Дебетовая и идентификационная карты, а также заполненные бумаги для заметок на рабочем столе, размещенные на Untappd.


Фотографии F-16, размещенные на Untappd, с указанием их местонахождения.


Документы по военным вопросам, явно не предназначенные для общественности, размещенные на Untappd.

Зачем публиковать эти выводы?


В нашем предыдущем исследовании фитнес-приложения, раскрывающего адреса военного и разведывательного персонала, мы не публиковали результаты, пока компания, создавшая приложение, не сделала данные недоступными и не внесла изменения в стандарты конфиденциальности. Однако это не относится к Untappd.

В случае с Untappd есть три важных отличия. Во-первых, приложение имеет достаточные возможности по настройке конфиденциальности, профили можно легко установить как «приватные». Во-вторых, пользователи осознанно выбирают места, в которых они ставят активные метки. В-третьих, самое главное, частные резиденции невозможно отметить в приложении, если пользователь не добавил свой собственный дом. Другими словами, в Untappd ответственность за общедоступные данные лежит на самих пользователях.

В то же время данные Untappd могут быть полезным источником для проведения расследований или в качестве отправной точки для подтверждения других результатов. Эта статья посвящена военным, но аналогично это применимо к бизнесменам и политикам. Это серьёзное напоминание о том, что Untappd и подобные небольшие социальные сети, хотя и не привлекают много внимания, могут использоваться для дополнительной проверки фактов при проведении открытых расследований, а также могут представлять серьёзные проблемы с безопасностью.

Пользователи, упомянутые в этой статье, были уведомлены и соответствующим образом изменили свои настройки конфиденциальности. Выход данной статьи стал возможным частично благодаря Академии журналистики им. Фонтиса.

Переводы в блоге компании Эдисон:

Edison
Изобретаем успех: софт и стартапы

Комментарии 17

    +6

    Упс, а мы-то незнали!
    ;)




    Базовые сервисы (Google Play, Google Pay) собирают гораздо больше информации.
    Поэтому либо не стоит беспокоиться (и "получать удовольствие"), либо пользоваться "кнопочным телефоном".


    Любителям своих "кастомных" прошивок советую добавить явную индикацию (зажигание какого-нибудь светодиода) при активации камеры, микрофона, wifi (при его "выключении"), "нательных датчиков" и гироскопа. Вы НЕ будете разочарованы.

      +3
      Помню как народ удивлялся, когда в новых телефонах с выезжающей фронтальной камерой она начинала сама выезжать время от времени.
      +3
      1. В данном случае люди добровольно раскрывают данные о собственной организации с каким-никаким уровнем секретности, и из совокупности этих данных можно что-то выяснять.
      2. Вполне возможно, что часть организаций в целях сокрытия (или для собственного развлечения) намеренно запускают дезинформацию в публичные сервисы.
        +2
        Просто деактивировать все эти вещи нельзя? я взял прошивку рутовую. Поотключал у всех программ запрос GPS, смс, камеры и т.д. оставил только у соответствующих приложений.
        Или этого недостаточно?
          +1
          Facebook например выходит за границы контейнера Samsung в телефоне. Так что я хз как это убрать и ограничить.
        +2
        Неужели так сложно сделать скрипт нейросеть, который будет генерировать цифровые следы, ведущие куда надо?
          +3
          Вот можно ознакомиться для примера
          bmpd.livejournal.com/4015178.html
          Американский ресурс «Defense One» опубликовал небезынтересный материал… «в котором сообщается, что, согласно отчету компании геопространственной аналитики Orbital Insights, на ряде российских предприятий оборонно-промышленного комплекса имело место замедление производства из-за пандемии COVID-19. Отчет основан на анализе использования сотовой связи и другой информации из открытых источников.»
          Тут кто-то ещё ратует за анонимность при использовании google и apple в каждом кармане?
            +1
            Волна поднятая в российских СМИ в январе 2018 года по статье в The Washington Post об утечке геопозиций американских военнослужащих через приложение для фитнесс-браслетов привела к изменениям в Федеральном законе «О статусе военнослужащих» в марте 2019 года. Российским военнослужащим запретили пользоваться интернетом в служебное время, что привело к полной изоляции от интернета военнослужащих срочной службы т.к. они всегда находятся на территории воинских частей и всегда на службе. Каких либо заметных ужесточений в пользовании интернетом собственно для американских военнослужащих не последовало. Они как ведут блоги из армии, из своих казарм, так и ведут. Как пользуются интернетом в казармах со своих гаджетов так и пользуются.
            А тут такая удобная статья в западном блоге. Чего бы российским срочникам в армии еще запретить?
              +2
              Это хороший вопрос, кто же именно виноват в том, что в России что-то запрещают — американские военные или западные блоги? :-)
                +4
                Так пользоваться интернетом на время службы и не надо — это же секретное время)) Достаточно кнопочного телефона для экстренной связи с родными.
                  0
                  С чего вы решили, что срочнику разрешен кнопочный сотовый телефон? Читаем внимательно изменения в ФЗ и в устав. Запрещается «иметь при себе при исполнении обязанностей военной службы… электронные изделия… бытового назначения, в которых могут храниться… аудио-, фото-, видеоматериалы и данные геолокации»

                  Геолокация в гугл-мапс задается семью буквами и цифрами плюс название города. Геолокация Собора Василия Блаженного по гугл-мапс «QJ3F+26 Москва» (семь букв и цифр в текущем городе). Есть другие форматы, во всяком случае данные геолокации это не больше нескольких десятков цифр. Может ли любой современный сотовый телефон, хоть кнопочный хоть нет, хранить несколько десятков цифр? Может конечно. Хотя-бы в телефонной книге, памяти набранных номеров, памяти звонивших, в таблицах рекордов змейки. Может хранить? Значит запрещен.
                    +3
                    Я думаю, что имеется в виду данные геолокации, полученные самим этим устройством. А то так их и на бумажке записать можно. Но, скорей всего, это обычная юридическая недоработка.
                    Ну и Уставы — это еще то место для логики ))
                      +1
                      Вольница в трактовках нормативно-правовых актов об использовании телефонов в армии прошла. То что раньше регулировалось приказами командиров частей, которые они выпускали на основе приказов с нулями генштаба теперь регулируется федеральным законом. Приказы были секретны, доводились только выписки из приказа устно. Была вольница в трактовках разных командиров. Сейчас не так. Закон касается всех военнослужащих, он не делает различий срочник это или офицер, в законе есть только военнослужащие. А трактовать теперь будет суд с привлечением экспертов, а не вышестоящий командир. Фраза из закона, которую я привел, довольно однозначна. Суд руководствуется не духом закона, не желанием законодателя, суд руководствуется буквой закона.
                +3
                МО РФ нужно прибить Яндекс. Показывает загруженность дорог около оборонных предприятий и воинских частей. Окрасилась дорога красным цветом у в/ч, шпиону известно, что вероятно вышла военная колонна, надо проверить по ближайшим веб-камерам.
                Мало свободных яндекс-такси вечером у закрытого института? Служащих в институте много, такси не хватает, зарплата у них есть.
                Операторы фискальных данных сливают обезличенные данные по чекам Яндексу и Гуглу. Купил пакетик миндаля в магазинчике внизу, поднялся, ютуб уже показывает рекламный ролик о миндале. Полез проверять как используются данные по чекам, точно сливают, не скрывают.
                МО РФ озаботилось сокрытием личностей военнослужащих. Запретило раскрывать им в интернете где они служат. А военные парады не запретило, фото-видео съемку парадов и трансляцию не весь мир не запретило. Недоработочка. Появление военнослужащих в форме на улице, где на каждом подъезде и перекрестке камера транслирующая видео в мир, не запретила. Недоработочка.
                Подскажем родному правительству источники утечек, не ленимся.
                  +1
                  параноидальная секретность в СССР не спасла его от поражения в холодной войне ;)

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое