خدمة اللياقة مرة أخرى "تنازلت عن جميع مظاهر" الحكومات والخدمات العسكرية والخاصة

في عصر القذائف التسيارية غير المنضبط كان هناك قول "القنبلة لا تسقط مرتين في نفس القمع". منذ ذلك الحين ، ظهرت الذخيرة ، مع مسار رحلة قابل للتعديل ، وبدأ المثل يرمز إلى الأمل في أن الناس يمكنهم التعلم من أخطاء الآخرين ، ولا يمكن أن يحدث فشل ملحمي مرتين في نفس السيناريو. ومع ذلك ، كما يقولون ، "لم يحدث من قبل ، وهنا مرة أخرى" ...

لم يكن لدينا وقت ننسى القصة تمامًا من يناير 2017 ، عندما كشفت خدمة اللياقة البدنية Strava عن مواقع الأشياء السرية الأمريكية ، حيث حدث فشل ملحمي أكثر في خدمة أخرى مماثلة. أظهر تطبيق Polar Flow الرياضي المكان الذي يعيش فيه موظفو القواعد العسكرية السرية والأشياء الحساسة الأخرى ذات الأهمية الخاصة.

والمثير للدهشة أن خدمة Polar Flow أعطت بيانات أكثر مما كانت عليه مع Strava. لسوء الحظ ، لم تدرس الحياة أي شيء للموظفين المسؤولين عن حماية المعلومات في Polar. الآن أصبح من الممكن ليس فقط أن يقتصر على البحث عن الأشخاص المشاركين في الرياضة في المرافق السرية. ولكن ، الأهم من ذلك ، معرفة الأسماء الكاملة لمثل هؤلاء الأشخاص ، وأيضًا عدد المرات وأين تم تدريبهم من قبل.



بعد الفضيحة مع Strava ، قام فريق بحث Bellingcat ، جنبًا إلى جنب مع المنشور الهولندي De Correspondent ، بتحليل عمل خدمات اللياقة البدنية الأخرى ووجد أن حجم التسرب الزائف للبيانات المصنفة من خدمة Polar Flow كان أكبر.

Polar Flow هو تطبيق يسمح لك بتتبع وتحليل النشاط البدني اليومي والسعرات الحرارية المستهلكة ومدة التدريب والمسافة المقطوعة. في الوقت نفسه ، قدمها المطورون كمنصة اجتماعية يمكن للمستخدمين من خلالها ، من بين أمور أخرى ، مشاركة طرق تدريبهم على الجري والمشي.

على وجه الخصوص ، يتم عرض جميع الأنشطة على خريطة تسمى استكشاف . من خلال عرض جميع التمارين على خريطة واحدة ، لا تكشف Polar فقط عن بعض المؤشرات الطبية والطرق والتواريخ والأوقات ومدد تمارين المستخدم ، ولكن أيضًا إحداثيات مكان إقامتهم وعملهم - عادةً ما يقوم المستخدمون بتشغيل أجهزة تتبع اللياقة البدنية عند مغادرتهم للمنزل ، الكشف عن أماكن سكانها على الخريطة بنص واضح.



كان تتبع المعلومات بسيطًا جدًا حتى بالنسبة لعشيق غير مؤهل لأسرار الآخرين مباشرة على الموقع: تحتاج إلى العثور على عقار له وضع خاص (معروف لك بالفعل أو تم إخفاؤه بعناية في مربع أسود على الخرائط عبر الإنترنت بناءً على طلب الدولة) ، اختر أحد مسارات "الرياضيين" عن طريق القرب ، تحديد الملف الشخصي المرتبط بمسار الركض ومعرفة مكان تدريب هذا المستخدم.


لذلك يمكنك العثور على أماكن أخرى مثيرة للاهتمام باستخدام الحد الأدنى من القدرات الاستنتاجية. كلما زاد عدد الرياضيين الذين قمت بتحليلهم ، زادت المعلومات السرية التي يمكنك جمعها في النهاية. غالبًا ما يشير المستخدمون في ملفاتهم الشخصية إلى أسماء حقيقية وصور ، حتى إذا لم يربطوا ملفاتهم الشخصية من الشبكات الاجتماعية الأخرى بالسجل القطبي.



ذهب محللو Bellingcat إلى أبعد من ذلك واتخذوا واجهة برمجة التطبيقات للمطورين. اتضح أنه من خلاله ، يمكن للمهاجم المحتمل عرض بيانات المستخدم بشكل أكثر ملاءمة ، حتى تلك التي تخفيها إعدادات الخصوصية. لم يكن لواجهة برمجة التطبيقات قيود على عدد الزيارات ، لذلك يمكن لأي شخص تقريبًا جمع معلومات حول ملايين مستخدمي Polar Flow وإخضاعها لاستخراج البيانات.

مسار رجل من مبنى الوكالة البريطانية MI6 ، صورة De Correspondent

بعد أن اتصل الصحفيون بشركة Polar ، اعتذرت الشركة رسميًا وأفادت أنها عطلت وظيفة التتبع وكانت تتعامل بالفعل مع المشكلة.

ومع ذلك ، عن طريق القياس مع "تسرب" "مستندات Google" من خلال Yandex.Search ، قالت Polar أنها لا تعتبر التسرب خطيرًا حقًا:

من المهم أن نفهم أنه لم يكن هناك تسرب للبيانات ، بما في ذلك التسرب الشخصي. حاليًا ، لدى معظم مستخدمي Polar إعدادات خصوصية خاصة ، لذلك لا تنطبق المشكلة عليهم على الإطلاق. يعد خيار مشاركة بيانات التدريب والموقع اختيارًا لكل مستخدم ، ولكن يتم إعلامنا بأن المعلومات المتعلقة بالأماكن التي يحتمل أن تكون سرية أصبحت عامة ، لذلك قررنا إغلاق واجهة برمجة تطبيقات Explore مؤقتًا

.

بدوره ، أعرب باحثو Bellingcat عن مخاوفهم:

في بعض البلدان ، مُنع الجنود من ارتداء الزي الرسمي في الشارع حتى لا يتمكن الخصوم المحتملون من اكتشافهم - والآن يمكن لأي شخص لديه إمكانية الوصول إلى الإنترنت والبراعة معرفة عناوينهم وعاداتهم حول كيفية استخدام الموقع القطبي بشكل صحيح. من السهل معرفة وقت الانتشار [للوحدة العسكرية] ، ومكان الإقامة ، والصورة ، ودور الجندي في منطقة الصراع. لا يتطلب الأمر الكثير من الخيال لإدراك كيف يمكن للمتطرفين أو أجهزة استخبارات الدولة استخدام هذه المعلومات.