Данные фитнес-трекеров Polar обнаружились в открытом доступе, рассекретив маршруты пробежек некоторых военных и разведчиков из разных стран. Журналисты De Correspondent и исследователи Bellingcat указали на уязвимость и рассказали о местонахождении некоторых непубличных служащих.

Изображение: bellingcat.com
Военная база в Мали. Изображение: bellingcat.com

Утечка стала возможна из-за сервиса Polar Flow. Он позволяет отслеживать свою активность и делиться достижениями с другими участниками сообщества.

Проблема в том, что вся информация всех пользователей доступна на общей карте. Там можно выбрать «чувствительный» регион (например, военную базу) и получить доступ к аккаунтам всех, кто занимается спортом в этом месте. В некоторых аккаунтах есть настоящие имена пользователей, их аватары, а также рост, вес и маршруты пробежек начиная с 2014 года. Место, где пробежки начинаются и заканчиваются, позволяет предположить, где живет этот человек.

Исследователи из Bellingcat нашли профиль высокопоставленного офицера ВВС США с настоящим именем, постоянным маршрутом через лес и возможным домашним адресом. Также они отследили нескольких пользователей, которые занимались сперва на тренировочных базах в США, а после — на Ближнем Востоке.

В общем списке Bellingcat есть агенты ФБР и Агентства национальной безопасности, специалисты по кибербезопасности, противоракетной обороне и разведке, сотрудники АЭС. Нашлись также предположительные американцы в «зеленой зоне» Багдада, российские солдаты в Крыму и военные у границы КНДР.

Журналисты нидерландского издания De Correspondent нашли «бегунов» на 125 военных базах, а также на хранилищах ядерного оружия, в спецслужбах, посольствах и атомных электростанциях. Даже приватные профили оказались защищены недостаточно хорошо, так что личности любителей спорта получилось установить.

Изображение: decorrespondent.nl
Изображение: decorrespondent.nl

У них получилось отследить перемещения предположительного работника Главного управления Генерального штаба России (ГРУ). Владелец аккаунта двигался вокруг здания штаб-квартиры ГРУ в Москве, приложение сохранило его предположительный домашний адрес. Еще один пользователь совершал пробежки рядом с диппредставительствами России в Эрбиле (Ирак), Карачи (Пакистан) и Кабуле (Афганистан).

Polar временно заморозила опцию Explore, которая сделала утечку возможной.

Кстати, в январе 2018 года популярное приложение для фитнеса Strava похожим образом раскрыло местоположение секретных военных объектов. Аналитик Натан Рюзер обнаружил не только расположение американских баз в разных странах, но и маршруты патрулей и схемы перемещения военных в них.

Представитель Strava отметил, что их карта не отражает зоны, которые пользователи помечают, как «частные». Кроме того, люди могут отключить анонимное отслеживание в настройках. В пресс-службе также пообещали уделять больше внимания разъяснениям о приватности в приложении.