Пентагон опять взломан фитнес-трекерами
06.02.2020 15:19
Маршруты тренировок пользователей
приложения для фитнеса Polar Flow, которыми они делились друг с другом на сайте компании, позволили журналистам вычислить местонахождение секретных военных объектов по всему миру. На основании данных 6,5 тыс. уникальных пользователей было найдено более 200 различных секретных локаций.
Приложение для фитнеса Polar Flow, созданное финской компанией Polar, допустило утечку геолокационных данных своих пользователей, в том числе американских военных и секретных агентов. К такому выводу пришли журналисты из De Correspondent и Bellingcat, которым удалось получить данные пользователей и определить с их помощью местоположение секретных объектов США и других стран.
В общей сложности с помощью технологии веб-скрапинга, примененной к сайту Polar, на основании данных 6,5 тыс. уникальных пользователей было найдено более 200 различных секретных локаций, включая военные и ядерные базы, офисы разведывательных служб и посольства. Были обнаружены пользователи, которые работают на ФБР и АНБ, а также специалисты по кибербезопасности, противоракетной обороне и разведке, члены экипажей подводных лодок и сотрудники ядерных заводов.
Среди пользователей, чье местонахождение было определено, оказались американцы в Зеленой зоне Багдада, военные в заливе Гуантанамо на Кубе, россияне в Крыму, военные формирования у границ Северной Кореи, члены экипажей воздушных судов, которые воюют против Исламского государства и т п.
У Polar Flow есть сайт, на котором пользователи могут делиться маршрутами своих тренировок — пробежек, велопрогулок и т. п. По сравнению с похожими сервисами Garmin и Strava, Polar публикует там больше данных о пользователях, и эти данные проще найти. Для каждого пользователя места его тренировок собраны в одну карту, с указанием сердечного ритма, маршрута, даты, продолжительности и интенсивности тренировки. Во многих аккаунтах американских военных в Polar используются их реальные имена и фото, даже если аккаунты не связаны со страницей в Facebook, а также реальные данные о росте и весе.
Если Garmin и Strava выводят каждую тренировку на отдельной карте, и разрешают другим пользователям просмотреть ограниченное количество тренировочных маршрутов одного и того же человека, то Polar выводит на карте мира все места, где человек тренировался с 2014 года. Таким образом, сотрудники De Correspondent и Bellingcat смогли увидеть маршруты тренировок американских военных в Афганистане и других странах.
[dailystorm.ru, 09.07.2018, "Мой дом — моя слабость": Сайт Polar, в отличие от Strava, публикует все данные пользователя на одной карте. Любой желающий мог узнать скорость, пульс, дату и время пробежки. Также можно было определить место жительства бегуна — необходимо только отследить его на карте и посмотреть, где начинается или заканчивается трек. Как только спортсмен включал или выключал свой датчик уходя из дома, приложение начинало отслеживать его активность, отмечая место жительства на карте.
Узнав домашний адрес бегуна, любопытные пользователи могли узнать и его имя. В Polar большая часть спортсменов использует настоящие данные вместо логина либо очень похожее сочетание символов, например фамилию и первую букву имени. Также пользователь может связать аккаунты в Polar и Facebook. Эта особенность выдавала актуальную фотографию профиля, таким образом внимательный наблюдатель получал полный набор личных данных за четыре года.
Голландские журналисты предупреждают, что любой мог в течение этого времени разглядывать американские (или любые другие) военные базы и отслеживать расписание и привычки персонала. Так исследователи обнаружили и верифицировали данные нескольких офицеров, работавших на одной из военных баз США, где хранятся ядерные боеголовки. «Всего несколько кликов — и вы видите высокопоставленного офицера, который бегает вокруг хранилища ядерных ракет каждое воскресенье рано утром. Потом он бежит по любимому маршруту через лес, а останавливается на парковке недалеко от места службы», — описывают журналисты полученные данные. Они указывают, что им также удалось узнать имя и адрес этого офицера.
Таким же образом журналисты обнаружили активность американского контингента в Афганистане. Им удалось подтвердить личность нескольких пользователей Polar, сверившись с данными о военных в социальных сетях. Благодаря информации на сайте исследователи узнали о сроках командировки офицера в Афганистан, количестве таких командировок, а также о месте для дислокации подразделения, где военный проходил подготовку.
Публикация таких данных, по мнению заместителя директора Института политического и военного анализа Александра Храмчихина, может привести к ужасным последствиям. «Публикация личных данных — это не очень хорошо: террористы могут проследить и захватить военного, угрожать его семье. Сценарии могут быть абсолютно любые», — указывает эксперт — врезка К.ру]
Таким образом, журналистам оказалось достаточно найти пользователя, одно из тренировочных мест которого совпадает с местонахождением военной базы, чтобы увидеть все остальные его тренировочные локации, расположенные на других военных объектах и возле его собственного дома. Такие базы обычно маскируются на картах Google размытым пятном, и Polar помещает значок тренировки прямо на это пятно.
Местонахождение дома можно было определить по тому, что большинство пользователей отключают фитнес-трекеры, когда приходят домой, и снова включают, когда уходят.
Тренировочные маршруты пользователей Polar Flow на военной базе в Африке
Настройки приватности сайта таковы, что другие люди в любом случае могут видеть большую часть информации о пользователе, пишет Bellingcat. Сама Polar в ответ на публикацию издания заявила, что если настройки приватности выставлены по умолчанию, как это и происходит у большинства пользователей, то приватные данные увидеть невозможно. Тем не менее, компания приостановила работу функции исследования карты.
[ ТАСС, 09.07.2018, "Фитнес-приложение раскрыло информацию о местоположении сотрудников спецслужб по всему миру": Финская компания Polar, разработчик Polar Flow, опубликовала на своем сайте заявление, в котором говорится, что утечки личных данных через это приложение не было. Компания сообщила, что она приостановила действие функции своей программы, позволявшей получать информацию о пользователе.
Polar напоминает, что клиенты могут сами принимать решение о том, делать ли доступными свои личные данные для открытого доступа. Она предупредила пользователей, что они сами должны позаботиться о том, чтобы отключить эту функцию и не разглашать конфиденциальные данные о своем местоположении — врезка К.ру]
[РИАН, 12.07.2018, "Экс-шпион рассказал о приложении, которое может следить за пользователями": Мобильное фитнес-приложение Polar Flow, которое позволяет получать информацию о местоположении военнослужащих по всему миру, может быть расширением проекта Агентства национальной безопасности (АНБ) США, рассказал бывший технический директор ведомства Уильям Бинни. [...]
По словам Бинни, описание функций отслеживания в Polar Flow — аналог программы АНБ Treasure Map ("Карта сокровищ"). "Это похоже на программу АНБ Treasure Map, в каждый момент времени отслеживающую все устройства, соединенные в единую сеть. В данном случае это, возможно, представляет дополнительное подтверждение слежки в пользу АНБ", — заявил экс-сотрудник агентства, прослуживший в нем более 35 лет — врезка К.ру]
Похожий инцидент произошел в январе 2017 года с приложением Strava, которое наносит на общую карту маршруты передвижения своих пользователей. Strava собирает данные с таких устройств, так фитнес-трекеры Fitbit, смартфоны и другие гаджеты, с помощью которых можно отслеживать пробежки или велосипедные прогулки.
Большинство пользователей Strava являются выходцами из западных стран с развитой культурой спортивных занятий. Это заставило предположить, что некоторые из маршрутов Strava в Сирии, Афганистане и других странах, показанные на карте, по-видимому, являются обычными маршрутами американских военных, а еще часть, вероятно, принадлежит китайским военным в Южно-Китайском море. Многие локации, указанные на карте, совпадают с местонахождением военных объектов.
Секретные военные базы, скрытые Google
Данные пользователей Гонконга (слева) и Москвы
Валерия Шмырова
Polar Flow выдал секретных агентов
Приложение для фитнеса Polar Flow, созданное финской компанией Polar, допустило утечку геолокационных данных своих пользователей, в том числе американских военных и секретных агентов. К такому выводу пришли журналисты из De Correspondent и Bellingcat, которым удалось получить данные пользователей и определить с их помощью местоположение секретных объектов США и других стран.
Маршруты пользователей Polar Flow выводятся на карте мира
В общей сложности с помощью технологии веб-скрапинга, примененной к сайту Polar, на основании данных 6,5 тыс. уникальных пользователей было найдено более 200 различных секретных локаций, включая военные и ядерные базы, офисы разведывательных служб и посольства. Были обнаружены пользователи, которые работают на ФБР и АНБ, а также специалисты по кибербезопасности, противоракетной обороне и разведке, члены экипажей подводных лодок и сотрудники ядерных заводов.
Среди пользователей, чье местонахождение было определено, оказались американцы в Зеленой зоне Багдада, военные в заливе Гуантанамо на Кубе, россияне в Крыму, военные формирования у границ Северной Кореи, члены экипажей воздушных судов, которые воюют против Исламского государства и т п.
Какие данные есть в Polar Flow
У Polar Flow есть сайт, на котором пользователи могут делиться маршрутами своих тренировок — пробежек, велопрогулок и т. п. По сравнению с похожими сервисами Garmin и Strava, Polar публикует там больше данных о пользователях, и эти данные проще найти. Для каждого пользователя места его тренировок собраны в одну карту, с указанием сердечного ритма, маршрута, даты, продолжительности и интенсивности тренировки. Во многих аккаунтах американских военных в Polar используются их реальные имена и фото, даже если аккаунты не связаны со страницей в Facebook, а также реальные данные о росте и весе.
Если Garmin и Strava выводят каждую тренировку на отдельной карте, и разрешают другим пользователям просмотреть ограниченное количество тренировочных маршрутов одного и того же человека, то Polar выводит на карте мира все места, где человек тренировался с 2014 года. Таким образом, сотрудники De Correspondent и Bellingcat смогли увидеть маршруты тренировок американских военных в Афганистане и других странах.
[dailystorm.ru, 09.07.2018, "Мой дом — моя слабость": Сайт Polar, в отличие от Strava, публикует все данные пользователя на одной карте. Любой желающий мог узнать скорость, пульс, дату и время пробежки. Также можно было определить место жительства бегуна — необходимо только отследить его на карте и посмотреть, где начинается или заканчивается трек. Как только спортсмен включал или выключал свой датчик уходя из дома, приложение начинало отслеживать его активность, отмечая место жительства на карте.
Узнав домашний адрес бегуна, любопытные пользователи могли узнать и его имя. В Polar большая часть спортсменов использует настоящие данные вместо логина либо очень похожее сочетание символов, например фамилию и первую букву имени. Также пользователь может связать аккаунты в Polar и Facebook. Эта особенность выдавала актуальную фотографию профиля, таким образом внимательный наблюдатель получал полный набор личных данных за четыре года.
Голландские журналисты предупреждают, что любой мог в течение этого времени разглядывать американские (или любые другие) военные базы и отслеживать расписание и привычки персонала. Так исследователи обнаружили и верифицировали данные нескольких офицеров, работавших на одной из военных баз США, где хранятся ядерные боеголовки. «Всего несколько кликов — и вы видите высокопоставленного офицера, который бегает вокруг хранилища ядерных ракет каждое воскресенье рано утром. Потом он бежит по любимому маршруту через лес, а останавливается на парковке недалеко от места службы», — описывают журналисты полученные данные. Они указывают, что им также удалось узнать имя и адрес этого офицера.
Таким же образом журналисты обнаружили активность американского контингента в Афганистане. Им удалось подтвердить личность нескольких пользователей Polar, сверившись с данными о военных в социальных сетях. Благодаря информации на сайте исследователи узнали о сроках командировки офицера в Афганистан, количестве таких командировок, а также о месте для дислокации подразделения, где военный проходил подготовку.
Публикация таких данных, по мнению заместителя директора Института политического и военного анализа Александра Храмчихина, может привести к ужасным последствиям. «Публикация личных данных — это не очень хорошо: террористы могут проследить и захватить военного, угрожать его семье. Сценарии могут быть абсолютно любые», — указывает эксперт — врезка К.ру]
Как найти военную базу
Таким образом, журналистам оказалось достаточно найти пользователя, одно из тренировочных мест которого совпадает с местонахождением военной базы, чтобы увидеть все остальные его тренировочные локации, расположенные на других военных объектах и возле его собственного дома. Такие базы обычно маскируются на картах Google размытым пятном, и Polar помещает значок тренировки прямо на это пятно.
Местонахождение дома можно было определить по тому, что большинство пользователей отключают фитнес-трекеры, когда приходят домой, и снова включают, когда уходят.
Тренировочные маршруты пользователей Polar Flow на военной базе в Африке
Настройки приватности сайта таковы, что другие люди в любом случае могут видеть большую часть информации о пользователе, пишет Bellingcat. Сама Polar в ответ на публикацию издания заявила, что если настройки приватности выставлены по умолчанию, как это и происходит у большинства пользователей, то приватные данные увидеть невозможно. Тем не менее, компания приостановила работу функции исследования карты.
[ ТАСС, 09.07.2018, "Фитнес-приложение раскрыло информацию о местоположении сотрудников спецслужб по всему миру": Финская компания Polar, разработчик Polar Flow, опубликовала на своем сайте заявление, в котором говорится, что утечки личных данных через это приложение не было. Компания сообщила, что она приостановила действие функции своей программы, позволявшей получать информацию о пользователе.
Polar напоминает, что клиенты могут сами принимать решение о том, делать ли доступными свои личные данные для открытого доступа. Она предупредила пользователей, что они сами должны позаботиться о том, чтобы отключить эту функцию и не разглашать конфиденциальные данные о своем местоположении — врезка К.ру]
[РИАН, 12.07.2018, "Экс-шпион рассказал о приложении, которое может следить за пользователями": Мобильное фитнес-приложение Polar Flow, которое позволяет получать информацию о местоположении военнослужащих по всему миру, может быть расширением проекта Агентства национальной безопасности (АНБ) США, рассказал бывший технический директор ведомства Уильям Бинни. [...]
По словам Бинни, описание функций отслеживания в Polar Flow — аналог программы АНБ Treasure Map ("Карта сокровищ"). "Это похоже на программу АНБ Treasure Map, в каждый момент времени отслеживающую все устройства, соединенные в единую сеть. В данном случае это, возможно, представляет дополнительное подтверждение слежки в пользу АНБ", — заявил экс-сотрудник агентства, прослуживший в нем более 35 лет — врезка К.ру]
Инцидент со Strava
Похожий инцидент произошел в январе 2017 года с приложением Strava, которое наносит на общую карту маршруты передвижения своих пользователей. Strava собирает данные с таких устройств, так фитнес-трекеры Fitbit, смартфоны и другие гаджеты, с помощью которых можно отслеживать пробежки или велосипедные прогулки.
Большинство пользователей Strava являются выходцами из западных стран с развитой культурой спортивных занятий. Это заставило предположить, что некоторые из маршрутов Strava в Сирии, Афганистане и других странах, показанные на карте, по-видимому, являются обычными маршрутами американских военных, а еще часть, вероятно, принадлежит китайским военным в Южно-Китайском море. Многие локации, указанные на карте, совпадают с местонахождением военных объектов.
Геолокационные данные пользователей приложения Polar Flow
Военная база в Афганистане
Секретные военные базы, скрытые Google
Данные пользователей Гонконга (слева) и Москвы
Валерия Шмырова