Приложение для фитнеса Polar Flow, созданное финской компанией Polar, допустило утечку геолокационных данных своих пользователей, в том числе американских военных и секретных агентов. К такому выводу пришли журналисты из De Correspondent и Bellingcat, которым удалось получить данные пользователей и определить с их помощью местоположение секретных объектов США и других стран.
В общей сложности с помощью технологии веб-скрапинга, примененной к сайту Polar, на основании данных 6,5 тыс. уникальных пользователей было найдено более 200 различных секретных объектов, включая военные и ядерные базы, офисы разведывательных служб и посольства. Были обнаружены пользователи, которые работают на ФБР и АНБ, а также специалисты по кибербезопасности, противоракетной обороне и разведке, члены экипажей подводных лодок и сотрудники ядерных заводов.
Среди пользователей, чье местонахождение было определено, оказались американцы в Зеленой зоне Багдада, военные в заливе Гуантанамо на Кубе, военные формирования у границ Северной Кореи и т.п.
У Polar Flow есть сайт, на котором пользователи могут делиться маршрутами своих тренировок — пробежек, велопрогулок и т.п. По сравнению с похожими сервисами Garmin и Strava, Polar публиковал там больше данных о пользователях, и эти данные проще найти. Для каждого пользователя места его тренировок собраны в одну карту, с указанием сердечного ритма, маршрута, даты, продолжительности и интенсивности тренировки. Во многих аккаунтах американских военных в Polar использовались их реальные имена и фото, даже если аккаунты не связаны со страницей в Facebook, а также реальные данные о росте и весе.
Если Garmin и Strava выводят каждую тренировку на отдельной карте, и разрешают другим пользователям просмотреть ограниченное количество тренировочных маршрутов одного и того же человека, то Polar выводит на карте мира все места, где человек тренировался с 2014 г. Таким образом, сотрудники De Correspondent и Bellingcat смогли увидеть маршруты тренировок американских военных в Афганистане и других странах.
Журналистам оказалось достаточно легко найти пользователя, одно из тренировочных мест которого совпадает с местонахождением военной базы, чтобы увидеть все остальные его тренировочные локации, расположенные на других военных объектах и возле его собственного дома. Такие базы обычно маскируются на картах Google размытым пятном, и Polar помещает значок тренировки прямо на это пятно.
Местонахождение дома можно было определить по тому, что большинство пользователей отключают фитнес-трекеры, когда приходят домой, и снова включают, когда уходят.
Несколько историй о том, как случайно конфиденциальную информацию делали достоянием общественности.
Раскрыть Америку. Как секреты Пентагона попадают в интернет.
