Na era das bombas balísticas descontroladas, havia um ditado que dizia que "a bomba não cai duas vezes no mesmo funil". Desde então, a munição apareceu, com uma trajetória de vôo ajustável, e o ditado começou a simbolizar a esperança de que as pessoas possam aprender com os erros de outras pessoas, e o
fracasso épico duas vezes no mesmo cenário não pode acontecer. No entanto, como se costuma dizer, "nunca aconteceu antes, e aqui novamente" ...
Ainda não tivemos tempo de esquecer completamente a história a partir de janeiro de 2017, quando o serviço de condicionamento físico Strava
revelou os locais dos objetos secretos dos EUA, pois houve uma falha ainda mais épica em outro serviço semelhante. O
aplicativo esportivo
Polar Flow mostrava onde os funcionários de bases militares secretas e outros objetos sensíveis de significado especial vivem.
Surpreendentemente, o serviço Polar Flow forneceu ainda mais dados do que o Strava. Infelizmente, a vida não ensinou nada aos funcionários responsáveis pela proteção das informações na Polar. Agora era possível não apenas limitar-se à busca de pessoas envolvidas em esportes em instalações secretas. Mais importante, porém, é descobrir o nome completo dessas pessoas e também com que frequência e onde elas treinaram antes.
Após o escândalo com Strava, a equipe de pesquisa da Bellingcat, juntamente com a publicação holandesa De Correspondent, analisou o trabalho de outros serviços de condicionamento físico e descobriu que a magnitude do vazamento espúrio de dados classificados do serviço Polar Flow era ainda maior.
O Polar Flow é um aplicativo que permite rastrear e analisar a atividade física diária, calorias consumidas, duração do treinamento e distância percorrida. Ao mesmo tempo, os desenvolvedores o apresentaram como uma plataforma social com a qual os usuários podem, entre outras coisas, compartilhar as rotas de seus treinamentos de corrida e caminhada.
Em particular, todas as atividades são exibidas em um mapa chamado
Explorar . Ao exibir todos os exercícios em um mapa, a Polar não apenas revela alguns indicadores médicos, rotas, datas, horários e durações dos exercícios do usuário, mas também as coordenadas de seu local de residência e trabalho - os usuários geralmente ligam seus rastreadores de fitness ao sair de casa, revelando os lugares de seus habitantes no mapa em texto não criptografado.
O rastreamento das informações era bastante simples, mesmo para um amante não qualificado dos segredos de outras pessoas diretamente no site: você precisa encontrar uma propriedade com um status especial (já conhecido por você ou cuidadosamente
oculto destacado em um quadrado preto nos mapas on-line a pedido do estado), selecionar uma das faixas dos "atletas" por proximidade, identifique o perfil associado à pista de jogging e veja onde mais esse usuário está treinando.
Então você pode encontrar outros
lugares interessantes usando habilidades dedutivas mínimas. Quanto mais atletas você analisar, mais informações confidenciais você poderá coletar.Em seus perfis, os usuários geralmente indicam nomes reais, fotos, mesmo que não conectem seus perfis de outras redes sociais ao registro Polar.
Os analistas da Bellingcat foram muito além e adotaram a API para desenvolvedores. Acontece que, por meio dele, um invasor em potencial pode visualizar de maneira ainda mais conveniente os dados do usuário, mesmo os que estão ocultos pelas configurações de privacidade. A API não tinha restrições quanto ao número de ocorrências, portanto quase todo mundo podia coletar informações sobre milhões de usuários do Polar Flow e sujeitá-las à mineração de dados.
Rastreamento de um homem do prédio da agência britânica MI6, image De CorrespondentDepois que os jornalistas entraram em contato com a Polar, a empresa se desculpou oficialmente e informou que havia desativado a funcionalidade de rastreamento e já estava lidando com o problema.
No entanto, por analogia com o
"vazamento" do "Google Docs" através do Yandex.Search , a Polar disse que não considerava o vazamento realmente sério:
É importante entender que não houve vazamento de dados, incluindo vazamento pessoal. Atualmente, a maioria dos usuários da Polar possui configurações de privacidade privadas, portanto o problema não se aplica a eles. A possibilidade de compartilhar dados de treinamento e localização é uma opção de cada usuário, mas somos notificados de que as informações sobre locais potencialmente secretos se tornaram públicas, por isso decidimos fechar temporariamente a API do Explore
.
Por sua vez, os pesquisadores da Bellingcat expressaram suas preocupações:
Em alguns países, os soldados foram proibidos de usar uniformes nas ruas para que os oponentes em potencial não os entendessem - e agora qualquer pessoa com acesso à Internet e talento pode descobrir seus endereços e hábitos como usar o site Polar corretamente. É fácil descobrir o tempo de implantação [da unidade militar], local de residência, fotografia e o papel do soldado na zona de conflito. Não é preciso muita imaginação para perceber como extremistas ou serviços de inteligência do estado podem usar essas informações.