Strava wykorzystana do szpiegowania wojska

Jak donosi „The Guardian” niezidentyfikowana grupa korzystała ze Stravy do szpiegowania członków izraelskiej armii. Dzięki wykorzystaniu aplikacji szpiedzy mogli śledzić ruchy personelu wojskowego między bazami w kraju oraz w trakcie operacji zagranicznych.

O potencjalnym naruszeniu zasad bezpieczeństwa poinformowała wojsko grupa FakeReporter zajmująca się przeciwdziałaniu dezinformacji w Izraelu. Jej dyrektor Achiya Schatz powiedział:

Skontaktowaliśmy się z izraelskimi siłami zbrojnymi, jak tylko zorientowaliśmy się, że doszło do naruszenia zasad bezpieczeństwa. Po tym, jak otrzymaliśmy zgodę od wojskowych, o naszym odkryciu poinformowaliśmy Stravę. Oni od razu zorganizowali zespół, który zajął się tą sprawą.

W jaki sposób szpiedzy wykorzystali Stravę?

Strava umożliwia definiowanie tzw. segmentów, czyli pewnych odcinków tras rowerowych czy biegowych. Najczęściej są to trasy, które użytkownicy pokonują regularnie. Aplikacja umożliwia użytkownikom porównywanie czasów w danym segmencie i tworzy ranking najlepszych rezultatów. Na tym etapie ujawniane są wrażliwe dane osobowe użytkownika: zdjęcie, imię oraz inicjały.

Segmenty można definiować w Stravie, ale można również je pobierać z zewnętrznych źródeł przez logi GPS. Ich „legalności” Strava nie weryfikuje. W ten sposób można zdefiniować segment w dowolnym miejscu na świecie. Do jego utworzenia nie jest konieczna fizyczna obecność osoby w danym miejscu.

Rywalizuj na segmentach Strava
źródło: Strava

Te warunki wykorzystali szpiedzy. W swojej operacji wgrali wiele fałszywych segmentów. Umieścili je w placówkach wojskowych w Izraelu, w tym w placówkach agencji wywiadowczych i ściśle strzeżonych bazach, również tych, w których prowadzone są prace nad programem nuklearnym kraju. Jeśli trenujący wojskowi nie mieli odpowiednio skonfigurowanych ustawień prywatności i chcieli rywalizować z kimś, kto jawił się na Stravie jako Ez Shl z Bostonu, ich dane można było przechwycić w rankingu segmentu. Następnie szpiedzy mogli monitorować przemieszczanie się takiej osoby do kolejnych miejsc.

Strava fałszywe segmenty

To nie pierwszy tego typu problem ze Stravą

W 2018 roku doszło do podobnego zdarzenia. Wprowadzona w tamtym czasie aktualizacja Stravy pozwalała na wizualizację pełnej aktywności użytkowników aplikacji w postaci tzw. „map ciepła”. Wówczas przypadkowo ujawniono trasy biegowe/rowerowe/pływackie w bazach wojskowych należących do USA (np. obszar 51 w Nevadzie) i UK, a także w innych obiektach znajdujących się na terenie kraju, jak i poza jego granicami (np. baza w prowincji Helmand w Afganistanie).

Heat Map Strava
Mapa aktywności fizycznej żołnierzy UK w bazie na Falklandach

Kogo winić w tej sytuacji?

Przedstawiciele Stravy utrzymują, że dzięki właściwym ustawieniom prywatności w obu przypadkach można było uniknąć naruszenia zasad bezpieczeństwa.

Zapewniamy łatwo dostępne informacje dotyczące tego, w jaki sposób informacje są udostępniane w serwisie Strava, a także dajemy każdemu sportowcowi możliwość dokonywania własnych wyborów dotyczących prywatności – głosi komunikat przedstawicieli Stravy. W dalszej części nawołują oni do tego, aby każdy użytkownik aplikacji koniecznie zapoznał się z zasadami bezpieczeństwa i upewnił się, że ustawienia prywatności odzwierciedlają jego oczekiwania.

Wygląda jednak na to, że dzięki fałszywym segmentom szpiegom udało się obejść niektóre zabezpieczenia prywatności. W efekcie ujawniono dane kont ze statusem „prywatne”.


Jeśli chodzi o personel wojskowy, ciężko nie odnieść wrażenia, że w tym przypadku nie zadziałały odpowiednio procedury bezpieczeństwa/kontrwywiadowcze. Wygląda na to, że na czas nie dostrzeżono zagrożeń mogących płynąć z korzystania przez personel wojskowy z aplikacji służącej do śledzenia aktywności fizycznej.

Powiązane Artykuły

Śledź nas

18,455FaniLubię
2,814ObserwującyObserwuj
21,600SubskrybującySubskrybuj

Polecane