Фітнес-додаток Polar Flow фінської компанії Polar через дірки в налаштуваннях конфіденційності дав змогу журналістам визначити імена, адреси і активність тисяч користувачів, які працюють в розвідувальних службах і на військових об’єктах, пише platfor.ma.
До сервісу Polar Flow через GPS підключаються відразу кілька «розумних» гаджетів, включаючи смартфони, годинник, ваги і фітнес-браслети. Пристрої можна синхронізувати, щоб збирати інформацію про активність та інші дані в особистому кабінеті. Результати можна додавати на глобальну карту Explore, яка виступає соціальною платформою.
У Polar наполягали, що будь-який користувач має право зазначити свій профіль як конфіденційний – і таким чином не передавати дані в сторонні додатки на кшталт Facebook. Однак журналісти помітили, що в профілях часто з’являються фотографії, навіть якщо їх власники не пов’язували Polar з Facebook.
Дірка в додатку дозволила авторам розслідування з команди Bellingcat і голландського видання De Correspondent виявити імена, адреси, медичні дані, маршрути, а також дати й інші деталі тренувань військовослужбовців та розвідників у різних країнах світу.
За допомогою інформації на карті Polar Explore журналісти зібрали список з 6460 користувачів, які працюють поблизу «особливо важливих» районів – секретних об’єктів, військових баз, офісів розвідувальних служб і потенційно небезпечних місць.
Зазвичай журналісти вводили на мапі Polar Explore координати військових баз або різних відомств, після чого шукали маршрути від цих місць. Фінальні точки найчастіше виявлялися домашньою адресою користувача або готелем, де він живе. Відсутні дані на зразок точного номера будівлі можна було з’ясувати через відкриті джерела. Також з’ясувалося, що багато військовослужбовців користуються у фітнес-додатку реальними іменами або нікнеймами, дуже схожими на справжнє ім’я.
У розслідуванні наводяться дані, що Polar Explore відстежує активність кожного користувача з 2014 року, а інформацією ділиться при кожному увімкненні трекера. Будь-хто за бажання міг простежити за співробітником секретного об’єкта, потрібно було просто знайти цей об’єкт на мапі, а потім вибрати вправу і вивчити профіль одного з користувачів.
В Bellingcat і De Correspondent вирішили не публікувати знайдені дані про військовослужбовців, однак навели перелік «знахідок» – тих, кого вдалося відстежити за допомогою фітнес-програми. Серед них: російські військовослужбовці в Криму; військовослужбовці на об’єктах, де зберігається ядерна зброя; співробітники розвідувальних агентств та посольств; люди, що працюють у ФБР, Агентстві національної безпеки США і NASA; військовослужбовці, які спеціалізуються на кібербезпеці і протиракетній обороні; службовці на підводних човнах і підводних базах; співробітники атомних електростанцій; американці в «зеленій зоні» Багдада, де знаходяться урядові об’єкти; персонал в’язниці Гуантанамо; війська поблизу кордону з КНДР; пілоти, які беруть участь в нальотах на об’єкти «Ісламської держави».
Спочатку журналісти розповіли про результати розслідування представникам Polar. Після цього компанія вибачилася на своєму офіційному сайті і заявила, що припинила роботу Explore API. Однак при цьому в Polar відкинули факт витоку даних.
Тут варто зауважити, що Polar – не єдина компанія, яка зіткнулася з проблемами безпеки через фітнес-трекери. Однак у випадку з іншим сервісом Strava, скандал навколо якого розгорівся на початку 2018 року, журналісти знайшли тільки геолокації військових баз (ми про це вже писали).