Главная » Хабрахабр » Фитнес-сервис вновь «сдал все явки» правительств, военных и спецслужб

Фитнес-сервис вновь «сдал все явки» правительств, военных и спецслужб

В эпоху неуправляемых баллистических снарядов возникла поговорка, что «в одну воронку дважды бомба не падает». С тех пор появились боеприпасы, с корректируемой траекторией полета, а поговорка стала символизировать надежду на то, что люди могут учиться на чужих ошибках, и дважды epic fail по одному и тому же сценарию произойти не сможет. Однако, как говорится, «никогда такого не было, и вот опять»…

Спортивное приложение Polar Flow показало, где живут сотрудники секретных военных баз и других чувствительных объектов особого значения. Не успели все еще как следует позабыть историю из января 2017 года, когда фитнес-сервис Strava раскрыл расположения секретных объектов США, как произошел еще более эпичный провал у другого аналогичного сервиса.

К сожалению, жизнь ничему не научила сотрудников, отвечающих за защиту информации в Polar. Удивительно, что сервис Polar Flow отдавал еще больше данных, чем это было в случае со Strava. Но, что более важно, — узнать полные имена таких людей, а еще как часто и где они тренировались ранее. Теперь можно было не просто ограничиться поиском людей, занимающихся спортом на секретных объектах.

image

После скандала со Strava исследовательская группа Bellingcat вместе с нидерландским изданием De Correspondent анализировала работу других фитнес-сервисов и обнаружила, что масштабы паразитной утечки секретных данных сервиса Polar Flow еще грандиознее.

При этом разработчики подали его как социальную платформу, с помощью которой пользователи могут, в том числе, делиться маршрутами своих беговых и пеших тренировок. Polar Flow — это приложение, которое позволяет отслеживать и анализировать ежедневную физическую активность, расходуемые калории, длительность тренировок и пройденную дистанцию.

Отображая все тренировки на одной карте, Polar не только раскрывает некоторые медицинские показатели, маршруты, даты, время и длительность упражнений пользователей, но и координаты их места жительства и работы — пользователи, как правило, включают свои фитнес-трекеры при выходе из дома, тем самым раскрывая места своих жительств на карте открытым текстом. В частности, вся активность отображается на карте под названием Explore.

image

Отследить информацию было довольно просто даже неквалифицированному любителю чужих тайн прямо на сайте: нужно найти объект недвижимости с особым статусом (уже известный вам или заботливо скрытый подсвеченный черным квадратом на онлайн-картах по требованию государства), выбрать один из треков «спортсменов» по близости, определить связанный с треком пробежки профиль и посмотреть, где еще этот пользователь тренируется.
image

Чем больше спортсменов вы проанализируете, тем больше конфиденциальной информации сможете в конечном итоге собрать.В своих профилях пользователи часто указывают настоящие ФИО, фотографии, даже если они не подключали свой профили из других соцсетей к записи в Polar. Так вы сможете найти другие интересные места применив минимальные дедуктивные способности.

image

Выяснилось, что через него потенциальный злоумышленник мог с еще большим удобством просматривать данные пользователей, причём даже те, которые скрыты настройками конфиденциальности. Аналитики Bellingcat пошли гораздо дальше и взялись за API для разработчиков. API не имел ограничений на число обращений, поэтому практически любой желающий мог собрать информацию о миллионах пользователей Polar Flow и подвергнуть ее дата-майнингу.

imageТрек человека из здания британского агенства MI6, изображение De Correspondent

После того как журналисты связались с Polar, компания принесла официальные извинения и сообщила, что отключила функционал слежения и уже разбирается с проблемой.

Однако, по аналогии с «утечкой» «гуглдоков» через Яндекс.Поиск, Polar заявила, что не считает утечку действительно серьезной:

На данный момент у большинства пользователей Polar выставлены приватные настройки конфиденциальности, поэтому на них проблема никак не распространяется. Важно понимать, что никакой утечки данных, в том числе личных, не было. Делиться ли данными о тренировках и местоположении — выбор каждого пользователя, но мы уведомлены, что информация о потенциально секретных местах оказалась публичной, поэтому решили временно закрыть Explore API

.

В свою очередь исследователи Bellingcat высказали свои опасения:

Легко выяснить время развертывания [воинского подразделения], место жительства, фотографию и роль солдата в зоне конфликта. В некоторых странах солдатам было запрещено носить форму на улице, чтобы их не могли вычислить потенциальные противники — а теперь их адреса и привычки может узнать любой человек с доступом в интернет и смекалкой, как правильно использовать сайт Polar. Не нужно много воображения, для осознания, как эту информацию могут использовать экстремисты или государственные разведывательные службы


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

В Германии разработали требования к домашним маршрутизаторам

Продолжительное время в Интернете регулярно появляются статьи об уязвимости маршрутизаторов для SOHO сегмента. Я тоже публиковал статью как обнаружить, что Ваш Микротик взломан. Резкий рост участников нашего канала в Телеграм (@router_os) показал, что проблема крайне остра. Но проблема стоит глобальней. ...

[Перевод] Архитектуры нейросетей

Перевод Neural Network Architectures Давайте рассмотрим историю их развития за последние несколько лет. Алгоритмы глубоких нейросетей сегодня обрели большую популярность, которая во многом обеспечивается продуманностью архитектур. Если вас интересует более глубокий анализ, обратитесь к этой работе. Подробнее здесь. Сравнение популярных ...