Как эксперт с многолетним стажем в расследовании высокотехнологичных преступлений, я часто сталкиваюсь с уязвимостями, которые лежат на виду. Но редко они бывают настолько масштабны, системны и… легальны. Waze — не просто удобное навигационное приложение. Это, по сути, крупнейшая в мире система пассивного наблюдения, охватывающая более 60 стран. И всё это — не взлом, а особенность дизайна.
Когда пользователь Waze нажимает «Сообщить об аварии», «Полиция» или «Пробка», он публикует в общий доступ не только данные о дорожной обстановке. К каждому отчету привязывается его username, точные координаты GPS и временная метка с точностью до миллисекунды. Это не баг, а фича — так устроена публичная веб-карта Waze. Соберите несколько таких отчетов от одного пользователя за неделю — и вы получите четкий паттерн перемещений: домашний кластер (утренние отчеты), рабочий (дневные) и маршруты между ними. Он думает, что помогает другим водителям. На деле — строит свою цифровую тень.
Waze пытается ограничить сбор, выдавая не более 199 оповещений на один запрос, независимо от площади. Но эту защиту можно обойти методом географического гридинга. Мы разбиваем город на ячейки с примерным населением в миллион человек. Для плотной застройки ячейка меньше, для пригородов — больше. Затем автоматизированный скрипт опрашивает каждую ячейку каждые 3-5 минут, собирая свежие отчеты. Результат? Мы фиксируем до 95% всех новых алертов по всему миру до того, как они исчезнут с карты. Система работает круглосуточно, создавая массив данных, визуализация которого повторяет карту дорог — оранжевые точки горят вдоль шоссе и улиц.
P.S. Пару лет назад мы собирали аналогичные данные из Telegram, который позволял выводить список пользователей, находящихся рядом.
Подпишись на @ibederov
