Layanan kebugaran lagi "menyerahkan semua penampilan" pemerintah, militer dan layanan khusus

Di era kerang balistik yang tidak terkendali, ada pepatah yang mengatakan bahwa "bom tidak jatuh dua kali dalam corong yang sama." Sejak itu, amunisi muncul, dengan jalur penerbangan yang dapat disesuaikan, dan perkataan itu mulai melambangkan harapan bahwa orang dapat belajar dari kesalahan orang lain, dan dua kali kegagalan epik dalam skenario yang sama tidak dapat terjadi. Namun, seperti yang mereka katakan, "tidak pernah terjadi sebelumnya, dan di sini lagi" ...

Kami masih tidak punya waktu untuk sepenuhnya melupakan cerita dari Januari 2017, ketika layanan kebugaran Strava mengungkapkan lokasi benda-benda rahasia AS, karena ada kegagalan epik yang bahkan lebih besar di layanan serupa lainnya. Aplikasi olahraga Polar Flow menunjukkan tempat karyawan pangkalan militer rahasia dan objek sensitif penting lainnya hidup.

Anehnya, layanan Polar Flow memberikan lebih banyak data daripada dengan Strava. Sayangnya, kehidupan belum mengajarkan apa pun kepada karyawan yang bertanggung jawab untuk melindungi informasi di Polar. Sekarang dimungkinkan tidak hanya membatasi diri untuk mencari orang yang terlibat dalam olahraga di fasilitas rahasia. Tetapi, yang lebih penting, untuk mengetahui nama lengkap orang-orang tersebut, dan juga seberapa sering dan di mana mereka dilatih sebelumnya.



Setelah skandal dengan Strava, tim peneliti Bellingcat, bersama dengan publikasi Belanda De Correspondent, menganalisis pekerjaan layanan kebugaran lainnya dan menemukan bahwa besarnya kebocoran data rahasia dari layanan Polar Flow bahkan lebih megah.

Polar Flow adalah aplikasi yang memungkinkan Anda melacak dan menganalisis aktivitas fisik harian, kalori yang dikonsumsi, durasi pelatihan, dan jarak yang ditempuh. Pada saat yang sama, para pengembang menyajikannya sebagai platform sosial yang dengannya pengguna dapat, antara lain, berbagi rute pelatihan berlari dan berjalan mereka.

Secara khusus, semua aktivitas ditampilkan pada peta yang disebut Jelajahi . Dengan menampilkan semua latihan pada satu peta, Polar tidak hanya mengungkapkan beberapa indikator medis, rute, tanggal, waktu dan durasi latihan pengguna, tetapi juga koordinat tempat tinggal dan pekerjaan mereka - pengguna biasanya menyalakan pelacak kebugaran mereka ketika meninggalkan rumah, mengungkapkan tempat-tempat penghuninya di peta dalam teks yang jelas.



Melacak informasi itu cukup sederhana bahkan untuk pecinta rahasia orang lain yang tidak berkualifikasi tepat di situs: Anda perlu menemukan properti dengan status khusus (sudah diketahui atau disembunyikan dengan hati - hati disorot dalam kotak hitam di peta online atas permintaan negara), pilih salah satu trek "atlet" di dekatnya, mengidentifikasi profil yang terkait dengan trek jogging dan melihat di mana lagi pengguna ini dilatih.


Jadi, Anda dapat menemukan tempat menarik lainnya menggunakan kemampuan deduktif minimal. Semakin banyak atlet yang Anda analisis, semakin banyak informasi rahasia yang akhirnya dapat Anda kumpulkan. Dalam profil mereka, pengguna sering menunjukkan nama asli, foto, bahkan jika mereka tidak menghubungkan profil mereka dari jejaring sosial lain ke catatan Polar.



Analis Bellingcat melangkah lebih jauh dan mengambil API untuk pengembang. Ternyata melalui itu, penyerang potensial bahkan bisa lebih nyaman melihat data pengguna, bahkan yang disembunyikan oleh pengaturan privasi. API tidak memiliki batasan pada jumlah klik, sehingga hampir semua orang dapat mengumpulkan informasi tentang jutaan pengguna Polar Flow dan melakukan penambangan data.

Jejak seorang lelaki dari gedung agensi Inggris MI6, image De Correspondent

Setelah jurnalis menghubungi Polar, perusahaan meminta maaf secara resmi dan melaporkan bahwa mereka telah menonaktifkan fungsi pelacakan dan sudah berurusan dengan masalah tersebut.

Namun, dengan analogi dengan "kebocoran" "Google Documents" melalui Yandex.Search , Polar mengatakan bahwa itu tidak menganggap kebocoran itu benar-benar serius:

Penting untuk dipahami bahwa tidak ada kebocoran data, termasuk kebocoran pribadi. Saat ini, sebagian besar pengguna Polar memiliki pengaturan privasi pribadi, sehingga masalahnya tidak berlaku untuk mereka sama sekali. Apakah akan membagikan data pelatihan dan lokasi adalah pilihan masing-masing pengguna, tetapi kami diberitahu bahwa informasi tentang tempat-tempat yang berpotensi dirahasiakan ternyata bersifat publik, jadi kami memutuskan untuk sementara waktu menutup API Jelajahi

.

Pada gilirannya, para peneliti Bellingcat menyatakan keprihatinan mereka:

Di beberapa negara, tentara dilarang mengenakan seragam di jalan sehingga lawan potensial tidak dapat mengetahuinya - dan sekarang siapa pun yang memiliki akses internet dan kecerdikan dapat mempelajari alamat dan kebiasaan mereka bagaimana menggunakan situs Polar dengan benar. Sangat mudah untuk mengetahui waktu penyebaran [unit militer], tempat tinggal, foto dan peran prajurit di zona konflik. Tidak perlu banyak imajinasi untuk menyadari bagaimana ekstremis atau badan intelijen negara dapat menggunakan informasi ini.