Terroryści z łatwym dostępem do wiedzy o bazach wojskowych i ich personelu. Wszystkie dzięki fitnessowi.

Terroryści z łatwym dostępem do wiedzy o bazach wojskowych i ich personelu. Wszystko dzięki fitnessowi

Polar, aplikacja fitness, ujawnia ważne dane osób ćwiczących na terenie tajnych obiektów takich jak agencje wywiadowcze, bazy i lotniska wojskowe czy ambasady. Wyniki wspólnego śledztwa w tej sprawie ujawnia Bellingcat i holenderska platforma dziennikarska De Korespondent.

W styczniu Nathan Ruser odkrył, że aplikacja fitness Strava ujawniła wrażliwe miejsca na całym świecie, śledząc i publikując ćwiczenia jednostek wojskowych, w tym żołnierzy w zakonspirowanych placówkach wojskowych. To odkrycie trafiło na nagłówki gazet na całym świecie, ale dzięki Polar, który zasila aplikację Strava można dowiedzieć się jeszcze więcej.

Producent pierwszego na świecie bezprzewodowego czujnika tętna wykorzystuje swoją witrynę “Polar Flow” jako platformę społecznościową, na której użytkownicy mogą udostępniać swoje trasy i przebyte dystanse. W porównaniu do podobnych usług Garmin i Strava to Polar publikuje więcej danych o użytkowniku w bardziej przystępny sposób, co może mieć katastrofalne skutki.

Dom jest tam gdzie Twoje serce

Pokazując wszystkie sesje osoby połączone na jednej mapie, Polar nie tylko ujawnia tętno, trasy, daty, czas, czas trwania i tempo wykonywanych ćwiczeń, ale wśród nich te same informacje np. o żołnierzach, a także położeniu ich domów.

Śledzenie wszystkich tych informacji jest bardzo proste dzięki stronie internetowej: znajdź bazę wojskową, wybierz ćwiczenia opublikowane w tym miejscu i załączony do nich profil. Zobacz, gdzie jeszcze ta osoba skorzystała z połączenia.

Ponieważ ludzie często włączają / wyłączają urządzenia do fitnessu podczas opuszczania lub wchodzenia do mieszkań, nieświadomie zaznaczają ich lokalizację na mapie. Użytkownicy często używają swoich nazwisk w profilach, którym towarzyszy zdjęcie – nawet jeśli nie połączyli swojego profilu na Facebooka z kontem Polar. Polar nie jest jedyną aplikacją, która to robi, ale różnica między nią, a innymi popularnymi platformami fitness, takimi jak Strava lub Garmin, polega na tym, że inne wymagają nawigacji do określonej osoby, aby zobaczyć jego sesje, a każde ćwiczenie ma własną małą mapę. Co więcej, często ograniczają liczbę ćwiczeń, które można oglądać.

Polar pokazuje wszystkie ćwiczenia danej osoby od 2014 roku, na całym świecie i jednej mapie. W rezultacie wystarczy przejść do interesującej strony, wybrać jeden z profilów tam ćwiczących i uzyskać pełną historię tej osoby.

Znać na pamięć

Zaledwie kilkoma kliknięciami można znaleźć oficera wysokiego szczebla bazy lotniczej, znanej z obsługi broni jądrowej. Z domu, niezbyt daleko od tej bazy, zaczął i kończył wiele kolejnych biegów w niedzielne poranki. Jego ulubioną ścieżką jest las, ale czasami zaczyna się i kończy na oddalonym parkingu. Profil pokazuje jego pełne imię i nazwisko.

Działania normalnie osłonięte tajemnicą składają się z niewiarygodnych szczegółów. W bazie Sił Powietrznych Stanów Zjednoczonych, gdzie stacjonują uzbrojone drony, można znaleźć funkcjonariusza wywiadu. Jego nazwisko i zdjęcie profilowe są dostępne.

Możemy znaleźć zachodnich wojskowych w Afganistanie przez stronę Polar. Sprawdzenie krzyżowe nazwy i zdjęcia profilowego za pomocą mediów społecznościowych potwierdziło tożsamość jednego żołnierza lub oficera. Polar pokazał przebyte dystanse i trasy w kilku bazach wojskowych rozrzuconych po całym Bliskim Wschodzie, a także rozpoczęcie i koniec dziesiątek ćwiczeń w domu w stanie Nowy Jork. Na początku 2017 roku, jak „mówi” nam bez problemów aplikacja Polar, odbył podróż do zachodniej części Stanów Zjednoczonych i tam skorzystał z roweru. Zapisał także ćwiczenia, wyruszając z hotelu podczas pobytu w Tajlandii. Wszystkim tym zajęciom towarzyszył znacznik czasu, jego dokładna trasa, tętno i spalone kalorie.

Możemy „przechodzić” przez inne bazy wojskowe na Bliskim Wschodzie, w południowej Azji i Afryce, aby znaleźć zachodnich wojskowych, żołnierzy i kobiety oraz przyporządkować do nich pełne nazwy z profilami społecznościowymi, w tym z LinkedIn. Wybór osób, znalezionych na stronie Polar, które można było zidentyfikować na podstawie upublicznionych informacji i których domy możemy zlokalizować, obejmuje:

• personel wojskowy ćwiczący w bazach znanych lub podejrzewanych o przechowywanie broni jądrowej,
• osoby pracujące w agencjach wywiadowczych, a także w ambasadach, ich domy i inne istotne miejsca ich pobytu,
• osoby pracujące w FBI i NSA,
• personel wojskowy specjalizujący się w cyberbezpieczeństwie, IT, obronie przeciwrakietowej, wywiadzie oraz innych wrażliwych dziedzinach,
• osoby służące na okrętach podwodnych i ich ćwiczenia w bazie okrętów podwodnych,
• osoby z kadry zarządzającej jak i z bezpieczeństwa, pracujące w elektrowniach jądrowych,
• dyrektora generalnego firmy produkcyjnej, ćwiczącego w lokalizacjach na całym świecie,
• Amerykanów w Zielonej strefie w Bagdadzie,
• rosyjskich żołnierzy na Krymie,
• personel wojskowy w Guantanamo Bay,
• oddziały stacjonujące w pobliżu granicy z Koreą Północną,
• lotników zaangażowanych w bitwę przeciwko Państwu Islamskiemu.

Ta lista nie jest wyczerpująca. Udało się wykorzystując lukę w systemie bezpieczeństwa strony Polar dotrzeć do osób ogłaszających swoje ćwiczenia w ponad 200 innych podobnych witrynach i utworzyć listę blisko 6500 unikalnych użytkowników.

Razem ci użytkownicy wykonali ponad 650.000 ćwiczeń, zaznaczając miejsca w których pracują, mieszkają i wyjeżdżają na wakacje. Implikacje związane z bezpieczeństwem są oczywiście poważne. W krajach, gdzie żołnierzom zakazano noszenia mundurów na ulicy w obawie, że spotkają potencjalnego terrorystę, adresy i schematy życia mogą teraz być łatwo dostępne dla każdego, kto ma dostęp do Internetu i spryt, aby korzystać z witryny Polar.

Obecnie łatwo można znaleźć: czas, lokalizacje, dom, zdjęcia i funkcje żołnierza, w strefie konfliktu. Nie trzeba wiele wyobraźni, aby zobaczyć, w jaki sposób dane te mogą być wykorzystywane w niebezpieczny sposób przez ekstremistów lub służby wywiadowcze.

Dotyczy to w szczególności informacji, które udało się zgromadzić na temat personelu w wielu magazynach broni jądrowej.

Ryzyko wynikające z otwartych zbiorów danych Polar stanowi również ryzyko dla cywili, ponieważ osoby motywowane złymi intencjami mogą wykorzystać Polar do sprawdzenia, kiedy i przez jak długi czas użytkownicy w danym obszarze przebywają z dala od swoich domów, a także kiedy przebywają za granicą, jeśli zabiorą ze sobą czujniki tętna.

Po zarejestrowaniu konta, Polar prosi o podanie nazwiska, lokalizacji, wzrostu, wagi, daty urodzenia, płci i liczby treningów w tygodniu. Choć oczywiście można podać fałszywe informacje, większość użytkowników, którzy wzięli udział w ankiecie, dostarczyła wiarygodnych informacji. Oprócz możliwości połączenia konta do Facebooka, Polar oferuje także integrację z pięcioma innymi aplikacjami (w tym ze Strava), aby udostępniać “wszystkie sesje automatycznie”.

Nawet przy ustawieniach prywatności wiele danych będzie nadal dostępnych. Oto kilka przykładów:

Zmiana ustawień prywatności z “Public” na “Followers” nadal pozwoli innym profilom pokazywać imiona, zdjęcia i lokalizację, w której pisali podczas rejestracji.

Użytkownicy musieliby również wyłączyć opcję, która pozwala innym automatycznie stać się „obserwatorem”, jeśli tego chcą.
Zmiana ustawień prywatności dla sesji, nawet na najbardziej rygorystyczne, wpływa tylko na nowe sesje. Starsze, pozostaną widoczne.

Inne witryny fitness, takie jak Strava, zapewniają opcję automatycznego zapobiegania publikowaniu lokalizacji domu lub miejsca pracy. Polar nie.

Możliwe jest usuwanie pojedynczych sesji, ale wiele kont ma zarejestrowane setki sesji, co czyni proces bardzo uciążliwym.

Istnieją sesje na mapie, które są całkowicie prywatne i nie powiązane z niczym innym. Jednakże, gdy kilka takich sesji zaczyna i kończy się w tym samym domu, wciąż można zebrać informacje o tym, kiedy i gdzie przebywa dana osoba.

Identyfikatory użytkownika połączone z “prywatnymi” przebiegami są łatwe do odzyskania, co oznacza, że nadal można łączyć ćwiczenia w różnych lokalizacjach z jedną osobą.

Polityka prywatności została zaktualizowana w sierpniu 2017 roku, a nowe konta mają domyślne ustawienia skonfigurowane w ten sposób aby uwzględniały najwyższy stopień ochrony prywatności, co oznacza, że użytkownicy muszą wyrazić zgodę na udostępnienie.

Polar w odpowiedzi na krytykę oświadczył, że zidentyfikował możliwości ujawniania danych wrażliwych i postanowił tymczasowo zawiesić funkcję “eksploruj”. Obecnie Polar pracuje nad innymi rozwiązaniami tych problemów, takimi jak dodanie możliwości wykasowania za jednym razem historii ćwiczeń.

Wady

Podobnie jak w przypadku większości otwartych źródeł, platforma Polar ma swoje ograniczenia. Dane Polar opierają się na GPS, który może być niedokładny i fałszywy, tak jak Bellingcat opisał w artykule na temat korzystania z danych Strava. Ponadto użytkownicy mogą (i prawdopodobnie powinni) włączać / wyłączać swoje czujniki w pewnej odległości od swoich mieszkań. Jednak trzeba pamiętać, że po wielu treningach punkty początkowe i końcowe zwykle mają uśrednione miejsce lokalizacji.

Dane natomiast są na tyle dokładne, aby można było stwierdzić, kiedy użytkownicy znajdują się na ulicy lub na terenie danego domu. Staje się to trudniejsze, gdy mamy do czynienia z gęstymi miastami i budynkami mieszkalnymi, chociaż większość fitness trackerów dość dokładnie śledzić też wysokość.

W jednym z przypadków śledzono osobę pracującą we wrażliwej lokalizacji i jego powrót do budynku mieszkalnego. Ta osoba często biegała przed budynkiem na ziemi, ale od czasu do czasu zaczęła wykonywać ćwiczenia na znacznie większej wysokości. Różnica między tymi dwoma wysokościami w połączeniu ze współrzędnymi odpowiadała dokładnie podłodze w budynku mieszkalnym.

Sedno sprawy

Możliwość znalezienia nazwisk, a nawet adresów żołnierzy online nie jest nowością. Ilość danych, które ludzie (nieświadomie) umieszczają w Internecie, od dawna budziła obawy zarówno ze strony społeczeństwa, jak i rządów. Oddzielne konta, posty i informacje w mediach społecznościowych można połączyć w całość, aby uzyskać kompletny obraz osoby. Jak widać w setkach artykułów Bellingcat i w innych witrynach opartych na otwartym źródle, obrazy i filmy pokazują wiele danych i można je wykorzystać w geolokalizacji, aby uzyskać dodatkowy kontekst.

Nowością jest to, jak łatwo jest śledzić osoby korzystające z aplikacji fitnessowych, takich jak Strava, a zwłaszcza Polar.

Amerykańskie wojsko już dokonało przeglądu zasad dotyczących monitorowania kondycji i prawdopodobnie inne kraje również to zrobią. Jednak w wielu lokalizacjach wojskowych wciąż można było zidentyfikować wielu amerykańskich użytkowników. Warto również zauważyć, że są to tylko dane z monitorów tętna Polar, podczas gdy istnieje cały świat urządzeń do śledzenia i aplikacji. Na przykład chińskie aplikacje fitness są już wykorzystywane przez setki milionów ludzi i są sponsorowane przez rząd, który ma na celu rozwój “różnorodnych zajęć fitness i specjalnych przedmiotów sportowych”.

Urządzenia i aplikacje fitness to jeszcze jeden obszar, w którym ludzie muszą być świadomi tego, jakie dane są udostępniane, zwłaszcza, że silnie opierają się na wrażliwych danych, takich jak lokalizacja i dane o stanie zdrowia.

Pamiętaj, zawsze, sprawdź uprawnienia aplikacji, spróbuj anonimizować swoją obecność w Internecie i jeśli nadal aplikacja będzie śledziła twoje działania, rozpocznij i zakończ sesje na zewnątrz budynku, a nie przy drzwiach wejściowych. Na koniec, jeśli chcesz uzyskać absolutną pewność, że nie będziesz wpadał w pułapki aplikacji podczas przyszłych ćwiczeń, możesz pozostawić urządzenie w domu, abyś mógł pobiegać anonimowo do rytmu swojego serca.

Źródło: Bellingcat

Fot. Pixabay

Podobne artykuły

Redakcja

Redakcja portalu O służbach. Napisz do nas na adres: redakcja@osluzbach.pl
Follow Me: