Спортивный шпионаж: как приложение для фитнеса стало угрозой для военных и спецслужб всего мира
Из-за небрежного обращения пользователей трекинг-приложения Strava с настройками конфиденциальности на тепловой карте активности проекта можно обнаружить военные базы, детали передвижений в местах военных конфликтов и многое другое. «Сноб» рассказывает, как спортивное приложение подняло на уши спецслужбы и стало важным источником открытых данных для журналистов-расследователей.
На фото карта активности спортивных троп на нарвской Ореховой горке
Настройки конфиденциальности. Как данные оказались доступными
На сайте проекта Strava, международной социальной сети для спортсменов, много слоганов о том, как с помощью приложения поднять свою мотивацию. «Не просто следите за своими достижениями — делитесь ими. Спортсмены Strava бывают в восхитительных местах», — рассказывают авторы проекта.
Разработчики утверждают, что информация, которую пользователи отправляют или публикуют в Strava, может быть видна другим в зависимости от настроек конфиденциальности. Доступными посторонним могут стать и сведения о физическом нахождении устройств. Strava может собирать и отправлять с телефонов такие данные, как скорость и направление движения, если пользователь не отключил геолокацию.
Кроме того, приложение собирает и анонимизирует информацию об участниках для использования авторами проекта в рабочих целях. Разработчики предупреждают, что могут получить доступ к текстам, программному обеспечению, аудио, фотографиям, видео, сообщениям, тегам и другим материалам, которые публикуют сами пользователи. Strava может использовать, продавать и передавать эту информацию третьим лицам, например, для социологических исследований.
Карта активности военной базы в Эмари (Эстония)
Разработчики утверждают, что информация, которую пользователи отправляют или публикуют в Strava, может быть видна другим в зависимости от настроек конфиденциальности. Доступными посторонним могут стать и сведения о физическом нахождении устройств. Strava может собирать и отправлять с телефонов такие данные, как скорость и направление движения, если пользователь не отключил геолокацию.
Кроме того, приложение собирает и анонимизирует информацию об участниках для использования авторами проекта в рабочих целях. Разработчики предупреждают, что могут получить доступ к текстам, программному обеспечению, аудио, фотографиям, видео, сообщениям, тегам и другим материалам, которые публикуют сами пользователи. Strava может использовать, продавать и передавать эту информацию третьим лицам, например, для социологических исследований.
Тепловая карта активности пользователей. О чем можно узнать из карты Strava
В ноябре 2017 года Дрю Робб, специалист по инженерии данных Strava, анонсировал крупное обновление «тепловой карты активности» — результат сбора 10 терабайт открытых данных от пользователей. На этой карте зафиксировано более миллиарда действий: бег, плавание, поездки на велосипедах, а также маршруты.
Изображение: Strava Labs
Приложение оказалось популярным в том числе и среди действующих военных, которые занимаются спортом во время службы или даже просто совершают патрулирование — Strava продолжала собирать данные геолокации и отправлять их разработчикам. На эту уязвимость обратил внимание аналитик в области безопасности и военных конфликтов Натан Расер: «Strava опубликовала глобальную тепловую карту активности. 13 триллионов GPS-точек, собранных с пользователей (доступ к данным можно выключить в приложении). Выглядит красивенько, но не так круто для безопасности военной информации. На карте легко найти военные базы США».
Очень быстро наличие активности стали проверять в местах военных конфликтов: например, неподалеку от иракского Мосула, где последние два года разворачивалась военная операция «Фатах» — коалиции иракской армии, США, Великобритании, Франции, Германии, Ирака, ОАЭ и Турции против ИГИЛ.
«Столько всего любопытного! Форпосты вокруг Мосула (ну или местные любят нарезать крохотные круги вокруг своих домов)».
Также пользователи соцсетей обратили внимание на разницу в использовании приложения в КНДР и Южной Корее.
Деперсонализация данных. Действительно ли открытые данные Strava анонимны
Конечно, Strava — не первые, кто публикует открытые данные о военных базах во всем мире, раньше них это сделали, например, Google Maps. Однако не все пользователи этого приложения в курсе, какую информацию они распространяют, не разобравшись в настройках конфиденциальности. После находки Натана Расера в Strava заявили, что приложат дополнительные усилия, чтобы рассказать участникам сети, как обеспечить конфиденциальность, а также что собранные для тепловой карты данные в любом случае анонимизированы.
Однако и это оказалось не совсем так: энтузиасты из соцсетей обнаружили, что, если на сайте приложения подставить в ссылку цифровой идентификатор маршрута, можно увидеть, кто из пользователей приложения показал на этом маршруте наилучшие результаты, и просмотреть их публичные профили.
Представитель Центрального командования США полковник Джон Томас уже заявил, что последствия публикации карты еще предстоит оценить и изучить.
Сооснователь группы Conflict Intelligence Team Руслан Левиев, расследующей участие России в военных конфликтах на Украине и в Сирии, рассказал «Снобу», что военные аналитики и исследователи конфликтов со всего мира знали об этой информационной уязвимости задолго до того, как о ней написали СМИ: «Мы начали анализировать карту достаточно давно. Пока что я не могу сказать, приведет ли это к каким-то большим расследованиям. Однако мы, несомненно, получили много полезной для нас информации».
Левиев добавил, что открытые данные являются одним из главных ресурсов для журналистов-расследователей и сотрудников исследовательских организаций: «Мы живем в век информационного общества, и вся человеческая деятельность оставляет много цифровых следов. Остается только анализировать огромные массивы данных и, связывая по крупицам отдельные части, и проводить убедительные расследования. Вспомните историю с акцией актера Шайа Лабафа (актер организовал live-стрим против Дональда Трампа, разместив в неизвестном месте флаг с надписью «Он нас не разъединит», «He Will Not Divide Us». — Прим. ред.): анонимные люди из интернета определили местонахождение его флага по времени заката и рассвета, сводке погоды, следам самолетов в небе и даже расположению звезд».
Комментарии
Отправить комментарий