在不受控制的弹道时代,有一种说法是“炸弹不会在同一漏斗中两次落下”。 从那时起,弹药出现了,飞行路线可调,这种说法开始象征着人们希望可以从别人的错误中学到东西,并且在同一情况下两次
史诗般的失败不会发生。 但是,正如他们所说,“从未发生过,再也没有发生过” ...
自2017年1月以来,我们仍然没有时间完全忘记这个故事,当时Strava健身服务
揭示了美国秘密物品
的位置 ,因为另一项类似服务甚至发生了史诗般的失败。
Polar Flow体育
应用程序显示了秘密军事基地的员工和其他具有特殊意义的敏感物体的住处。
令人惊讶的是,Polar Flow服务提供的数据比Strava还要多。 不幸的是,生活并没有对负责保护Polar信息的员工产生任何启示。 现在,不仅有可能仅限于寻找秘密设施中从事体育运动的人。 但是,更重要的是,找出这些人的全名,以及他们以前接受培训的频率和地点。
在与Strava发生丑闻之后,贝灵猫研究团队与荷兰出版物De Correspondent一起分析了其他健身服务的工作,发现Polar Flow服务的机密数据的虚假泄漏的幅度更大。
Polar Flow是一款应用程序,可让您跟踪和分析日常体育锻炼,消耗的卡路里,训练时间和行进距离。 同时,开发人员将其展示为一个社交平台,用户可以通过该平台共享跑步和步行训练的路线。
特别是,所有活动都显示在名为
探索的地图上。 通过在一张地图上显示所有锻炼,Polar不仅可以显示用户锻炼的一些医疗指标,路线,日期,时间和持续时间,还可以显示其居住和工作地点的坐标-用户通常在出门时打开健身追踪器,以清晰的文字显示居民在地图上的位置。
即使对于现场无条件的其他人的秘密情人来说,跟踪信息也非常简单:您需要找到具有特殊状态的财产(已为您所知,或应国家的要求将其
隐藏在在线地图上的黑色方框中),通过选择一个“运动员”轨道来进行查找,识别与慢跑轨迹相关的个人资料,并查看该用户还在其他地方进行培训。
因此,您可以使用最少的演绎能力找到其他
有趣的地方 。 您分析的运动员越多,最终收集的机密信息就越多,即使他们没有将自己的个人资料从其他社交网络连接到Polar记录,用户也经常在真实姓名,照片中注明真实姓名,照片。
Bellingcat的分析师走得更远,并为开发人员采用了API。 事实证明,通过它,潜在的攻击者甚至可以更方便地查看用户数据,即使是那些被隐私设置隐藏的用户数据。 该API对点击次数没有限制,因此几乎任何人都可以收集有关数百万Polar Flow用户的信息并将其进行数据挖掘。
英国通讯社MI6大楼里一名男子的踪迹,照片De Correspondent记者联系Polar之后,该公司正式道歉并报告说它已禁用跟踪功能,并且已经在解决该问题。
但是,通过与
Yandex.Search的“ Google Docs”的
“泄漏”进行类推 ,Polar表示并不认为泄漏真的很严重:
重要的是要了解没有数据泄漏,包括个人泄漏。 当前,大多数Polar用户具有私人隐私设置,因此该问题根本不适用于他们。 是否共享培训和位置数据是每个用户的选择,但是我们被告知有关潜在秘密地点的信息被证明是公开的,因此我们决定暂时关闭Explore API
。
反过来,Bellingcat的研究人员表达了他们的担忧:
在某些国家/地区,士兵被禁止在街上穿制服,以免潜在的对手弄不明白他们的身影-现在,任何具有Internet访问能力和智慧的人都可以找到他们的住址和习惯,以正确使用Polar网站。 很容易找出[军事单位]的部署时间,居住地点,照片以及士兵在冲突地区的作用。 意识到极端主义者或国家情报部门如何使用此信息并不需要太多的想象力。