Компания заморозила действие сервиса только после обращения журналистов, узнавших о лазейке.
Фитнес-приложение Polar Flow финской компании Polar из-за лазейки в настройках конфиденциальности позволяло определить имена, адреса и активность тысяч пользователей, которые работают в разведывательных службах и на военных объектах, говорится в совместном расследовании команды Bellingcat и голландского издания De Correspondent.
К сервису Polar Flow через GPS подключаются сразу несколько «умных» продуктов финской компании, включая смартфоны, часы, весы и фитнес-браслеты. Устройства можно синхронизировать, чтобы собирать активность и другие данные в личном аккаунте. Результаты можно добавлять на глобальную карту Explore, которая выступает социальной платформой.
В Polar настаивали, что любой пользователь вправе отметить свой профиль как конфиденциальный — и таким образом не передавать данные в сторонние приложения вроде Фейсбука. Однако в профилях часто появляются фотографии, даже если их владельцы не связывали Polar с Фейсбуком, отметили журналисты.
Лазейка в приложении позволила авторам расследования обнаружить имена, адреса, медицинские данные, маршруты, а также даты и другие детали тренировок военнослужащих и разведчиков в разных странах мира.
С помощью информации на карте Polar Explore журналисты собрали список из 6460 пользователей, которые работают вблизи «особо важных» районов — секретных объектов, военных баз, офисов разведывательных служб и потенциально опасных мест.
Обычно журналисты вводили на карте Polar Explore координаты военных баз или различных ведомств, после чего искали маршруты от этих мест. Финальные точки чаще всего оказывались домашним адресом пользователя или гостиницей, где он живёт. Недостающие данные вроде точного номера здания можно было выяснить через открытые источники. Также выяснилось, что многие военнослужащие пользуются в фитнес-приложении реальными именами или никнеймами, отчётливо похожими на настоящее имя.
В расследовании говорится, что Polar Explore отслеживает активность каждого пользователя с 2014 года, делящегося информацией при каждом включении трекера.
Тем, кто хотел проследить за сотрудником секретного объекта, нужно было просто найти этот объект на карте, а затем выбрать упражнение и изучить профиль одного из пользователей.
Bellingcat и De Correspondent не опубликовали точные данные о каком-либо из военнослужащих, но привели список «находок» — тех, кого удалось отследить с помощью фитнес-приложения. Среди них:
- Российские военнослужащие в Крыму;
- Военнослужащие на объектах, где хранится ядерное оружие;
- Сотрудники разведывательных агентств, посольств;
- Люди, работающие в ФБР, АНБ и NASA;
- Военнослужащие, которые специализируются на кибербезопасности и противоракетной обороне;
- Служащие на подводных лодках и подводных базах;
- Сотрудники атомных электростанций;
- Американцы в «зелёной зоне» Багдада, где находятся правительственные объекты;
- Персонал тюрьмы Гуантанамо;
- Войска вблизи границы с КНДР;
- Пилоты, участвующие в налётах на объекты «Исламского государства».
Журналисты предварительно рассказали о результатах расследования представителям Polar. После этого компания извинилась на своём официальном сайте и заявила, что приостановила работу Explore API. В Polar также отвергли факт утечки данных.
Polar – это не единственная компания, которое столкнулась с проблемами безопасности из-за фитнес-трекеров. Однако в случае со Strava, скандал вокруг которой развернулся в начале 2018 года, журналисты нашли только геолокации военных баз. Приложения вроде Strava и Garmin, в отличие от Polar, открывают каждую тренировку на отдельной карте и ограничивают число занятий, доступных для просмотра. Фактически все сеансы пользователей Polar Explore по всему миру отображались на одной карте.
Комментариев нет:
Отправить комментарий