Главная » Хабрахабр » Фитнес-сервис вновь «сдал все явки» правительств, военных и спецслужб

Фитнес-сервис вновь «сдал все явки» правительств, военных и спецслужб

В эпоху неуправляемых баллистических снарядов возникла поговорка, что «в одну воронку дважды бомба не падает». С тех пор появились боеприпасы, с корректируемой траекторией полета, а поговорка стала символизировать надежду на то, что люди могут учиться на чужих ошибках, и дважды epic fail по одному и тому же сценарию произойти не сможет. Однако, как говорится, «никогда такого не было, и вот опять»…

Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения. Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса.

К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах.

image

После скандала со Strava исследовательская группа Bellingcat вместе с нидерландским изданием De Correspondent анализировала работу других фитнес-сервисов и обнаружила, что масштабы паразитной утечки секретных данных сервиса Polar Flow еще грандиознее.

При этом разработчики подали его как социальную платформу, с помощью которой пользователи могут, в том числе, делиться маршрутами своих беговых и пеших тренировок. Polar Flow — это приложение, которое позволяет отслеживать и анализировать ежедневную физическую активность, расходуемые калории, длительность тренировок и пройденную дистанцию.

Отображая все тренировки на одной карте, Polar не только раскрывает некоторые медицинские показатели, маршруты, даты, время и длительность упражнений пользователей, но и координаты их места жительства и работы — пользователи, как правило, включают свои фитнес-трекеры при выходе из дома, тем самым раскрывая места своих жительств на карте открытым текстом. В частности, вся активность отображается на карте под названием Explore.

image

Отследить информацию было довольно просто даже неквалифицированному любителю чужих тайн прямо на сайте: нужно найти объект недвижимости с особым статусом (уже известный вам или заботливо скрытый подсвеченный черным квадратом на онлайн-картах по требованию государства), выбрать один из треков «спортсменов» по близости, определить связанный с треком пробежки профиль и посмотреть, где еще этот пользователь тренируется.
image

Чем больше спортсменов вы проанализируете, тем больше конфиденциальной информации сможете в конечном итоге собрать.В своих профилях пользователи часто указывают настоящие ФИО, фотографии, даже если они не подключали свой профили из других соцсетей к записи в Polar. Так вы сможете найти другие интересные места применив минимальные дедуктивные способности.

image

Выяснилось, что через него потенциальный злоумышленник мог с еще большим удобством просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. Аналитики Bellingcat пошли гораздо дальше и взялись за API для разработчиков. API не имел ограничений на число обращений, поэтому практически любой желающий мог собрать информацию о миллионах пользователей Polar Flow и подвергнуть ее дата-майнингу.

imageТрек человека из здания британского агенства MI6, изображение De Correspondent

После того как журналисты связались с Polar, компания принесла официальные извинения и сообщила, что отключила функционал слежения и уже разбирается с проблемой.

Однако, по аналогии с «утечкой» «гуглдоков» через Яндекс.Поиск, Polar заявила, что не считает утечку действительно серьезной:

На данный момент у большинства пользователей Polar выставлены приватные настройки конфиденциальности, поэтому на них проблема никак не распространяется. Важно понимать, что никакой утечки данных, в том числе личных, не было. Делиться ли данными о тренировках и местоположении — выбор каждого пользователя, но мы уведомлены, что информация о потенциально секретных местах оказалась публичной, поэтому решили временно закрыть Explore API

.

В свою очередь исследователи Bellingcat высказали свои опасения:

Легко выяснить время развертывания [воинского подразделения], место жительства, фотографию и роль солдата в зоне конфликта. В некоторых странах солдатам было запрещено носить форму на улице, чтобы их не могли вычислить потенциальные противники — а теперь их адреса и привычки может узнать любой человек с доступом в интернет и смекалкой, как правильно использовать сайт Polar. Не нужно много воображения, для осознания, как эту информацию могут использовать экстремисты или государственные разведывательные службы


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Электропитание ИТ-оборудования: безопасность или бесперебойность?

Добрый день, друзья! Сегодня у нас будет статья, цель которой — поделиться опытом и показать ключевые особенности и частые ошибки возникающие при проектировании и организации подсистем электроснабжения ИТ-инфраструктуры и ЦОД в целом. Но хотелось бы немного расширить аудиторию и посвятить ...

[Перевод] Сокращение расходов на AWS при использовании Kubernetes Ingress с классическим балансировщиком ELB

Основная ее тема — использование Kubernetes Ingress для локальных развертываний. Несколько месяцев назад я написал статью о контроллере Kubernetes Nginx Ingress, которая занимает второе место по популярности в этом блоге. Однако проблема заключается в том, что для каждого сервиса типа ...