En la era de los proyectiles balísticos incontrolados, se decía que "la bomba no cae dos veces en el mismo embudo". Desde entonces, apareció la munición, con una ruta de vuelo ajustable, y el dicho comenzó a simbolizar la esperanza de que las personas puedan aprender de los errores de otras personas, y dos veces el
fracaso épico en el mismo escenario no puede suceder. Sin embargo, como dicen, "nunca sucedió antes, y aquí de nuevo" ...
Todavía no tuvimos tiempo de olvidar por completo la historia de enero de 2017, cuando el servicio de fitness Strava
reveló la ubicación de los objetos secretos de EE. UU., Ya que hubo un fracaso aún más épico en otro servicio similar. La
aplicación deportiva
Polar Flow mostró dónde viven los empleados de bases militares secretas y otros objetos sensibles de especial importancia.
Sorprendentemente, el servicio Polar Flow proporcionó aún más datos que con Strava. Desafortunadamente, la vida no ha enseñado nada a los empleados responsables de proteger la información en Polar. Ahora era posible no solo limitarse a la búsqueda de personas involucradas en deportes en instalaciones secretas. Pero, lo que es más importante, para averiguar los nombres completos de esas personas, y también con qué frecuencia y dónde se entrenaron antes.
Después del escándalo con Strava, el equipo de investigación de Bellingcat, junto con la publicación holandesa De Correspondent, analizó el trabajo de otros servicios de acondicionamiento físico y descubrió que la magnitud de la fuga espuria de datos clasificados del servicio Polar Flow era aún mayor.
Polar Flow es una aplicación que te permite rastrear y analizar la actividad física diaria, las calorías consumidas, la duración del entrenamiento y la distancia recorrida. Al mismo tiempo, los desarrolladores lo presentaron como una plataforma social con la cual los usuarios pueden, entre otras cosas, compartir las rutas de sus entrenamientos para correr y caminar.
En particular, toda la actividad se muestra en un mapa llamado
Explorar . Al mostrar todos los entrenamientos en un mapa, Polar no solo revela algunos indicadores médicos, rutas, fechas, horas y duraciones de los ejercicios de los usuarios, sino también las coordenadas de su lugar de residencia y trabajo: los usuarios generalmente encienden sus rastreadores de ejercicios al salir de casa, revelando los lugares de sus habitantes en el mapa en texto claro.
Rastrear la información fue bastante simple incluso para un amante no calificado de los secretos de otras personas en el sitio: necesita encontrar una propiedad con un estado especial (ya conocido o cuidadosamente
oculto resaltado en un cuadrado negro en los mapas en línea a solicitud del estado), seleccione una de las pistas de "atletas" por proximidad, identifique el perfil asociado con la pista de jogging y vea en qué otro lugar está entrenando este usuario.
Para que pueda encontrar otros
lugares interesantes utilizando habilidades deductivas mínimas. Cuantos más atletas analice, más información confidencial podrá recopilar en última instancia. En sus perfiles, los usuarios a menudo indican nombres reales, fotos, incluso si no conectaron sus perfiles de otras redes sociales al registro Polar.
Los analistas de Bellingcat fueron mucho más lejos y adoptaron la API para desarrolladores. Resultó que a través de él, un atacante potencial podría ver aún más convenientemente los datos del usuario, incluso aquellos que están ocultos por la configuración de privacidad. La API no tenía restricciones en el número de visitas, por lo que casi cualquier persona podía recopilar información sobre millones de usuarios de Polar Flow y someterla a la minería de datos.
Rastreo de un hombre del edificio de la agencia británica MI6, imagen De CorresponsalDespués de que los periodistas se pusieron en contacto con Polar, la compañía se disculpó oficialmente e informó que había deshabilitado la funcionalidad de seguimiento y ya estaba lidiando con el problema.
Sin embargo, por analogía con la
"filtración" de "Google Docs" a través de Yandex.Search , Polar dijo que no consideraba la filtración realmente grave:
Es importante comprender que no hubo fuga de datos, incluida la fuga personal. Actualmente, la mayoría de los usuarios de Polar tienen una configuración de privacidad privada, por lo que el problema no se aplica en absoluto. La opción de cada usuario es compartir los datos de capacitación y ubicación, pero se nos notifica que la información sobre lugares potencialmente secretos resultó ser pública, por lo que decidimos cerrar temporalmente la API Explore
.
A su vez, los investigadores de Bellingcat expresaron sus preocupaciones:
En algunos países, a los soldados se les prohibió usar uniformes en la calle para que los oponentes potenciales no pudieran resolverlos, y ahora cualquier persona con acceso a Internet e ingenio puede encontrar sus direcciones y hábitos sobre cómo usar el sitio Polar correctamente. Es fácil averiguar el tiempo de despliegue [de la unidad militar], el lugar de residencia, la fotografía y el papel del soldado en la zona de conflicto. No se necesita mucha imaginación para darse cuenta de cómo los extremistas o los servicios de inteligencia del estado pueden usar esta información.