Приложение Polar вслед за Strava показало, где живут солдаты и шпионы
Фитнесс-приложение Polar проливает свет на место жительства и образ жизни людей, занимающихся физическими упражнениями на секретных объектах, таких как штабы спецслужб, военные базы и аэродромы, хранилища ядерного оружия и посольства. Об этом стало известно благодаря совместному расследованию Bellingcat и голландской журналистской платформы De Correspondent.
В январе Нейтан Рузер обнаружил, что фитнесс-приложение Strava показывает секретные объекты по всему миру, отслеживая и публикуя физические упражнения различных пользователей, в том числе военных на секретных (или «секретных») военных объектах. Обнаружение этих военных баз попало в мировые СМИ, однако приложение Polar, которое может пользоваться данными Strava, раскрывает еще больше.
Компания, известная созданием первого в мире беспроводного пульсометра, использует свой сайт Polar Flow в качестве социальной платформы, где пользователи могут делиться своими пробежками. По сравнению с похожими сервисами Garmin и Strava на сайте Polar публикуется больше данных по каждому пользователю и при этом они гораздо доступнее. Результаты могут быть катастрофическими.
Дом там, где сердце
Показывая все пробежки каждого пользователя на отдельной карте, Polar не только показывает пульс, время, продолжительность и темп нагрузок каждого из пользователей на военных базах, но и показывает ту же информацию оттуда, где, по-видимому, находятся их дома. Найти всю эту информацию с помощью сайта очень просто: надо лишь найти военную базу, выбрать опубликованную на ней пробежку, чтобы установить привязанный к ней профиль, и посмотреть, где еще этот пользователь совершал пробежки. Поскольку люди обычно включают и выключают фитнес-треккеры, входя и выходя из дома, они таким образом, сами того не желая, отмечают на карте свои дома. Пользователи часто используют в профилях полное имя и фото профиля, даже если не подключают свой аккаунт в Фейсбуке к аккаунту Polar.
Polar — не единственное приложение, которое поступает подобным образом, однако его отличие от других популярных фитнес-платформ, таких как Strava или Gramin, заключается в том, что на этих сайтах необходимо перейти к конкретному лицу, чтобы просмотреть их пробежки по отдельности, причем для каждой пробежки отводится собственная небольшая карта. Кроме того, они зачастую ограничивают количество пробежек, которые можно просматривать. Ситуация с Polar гораздо хуже, так как это приложение показывает на одной карте все пробежки конкретного пользователя по всему миру, начиная с 2014 года.
В результате достаточно перейти к интересному месту, выбрать одного из пользователей, которые занимаются на этом месте, и получить полную историю этого лица.
Всё как на ладони
Всего за несколько кликов можно обнаружить, как высокопоставленный офицер на авиабазе, на которой, как известно, хранится ядерное оружие, бегает утром по ее территории. По утрам в воскресенье он начинает свои пробежки из дома неподалеку от авиабазы и заканчивает их там же. Его любимый маршрут пролегает через лес, но иногда он начинается и заканчивается на парковке поодаль. В профиле отображается его полное имя.
Деятельность, которая обычно скрыта завесой строгой секретности, видна как на ладони в мельчайших подробностях. На базе ВВС США, где базируются боевые беспилотники, бегает офицер разведки. И вновь его имя и фото профиля находятся в открытом доступе.
С помощью Polar мы смогли найти западных военных в Афганистане. Сверив имя и фото профиля с социальными сетями, мы подтвердили личность одного из военнослужащих. На сайте Polar видно, как он бегает по различным военным базам по всему Ближнему Востоку, а также десятки пробежек, начинающихся и заканчивающихся у дома в штате Нью-Йорк. В начале 2017 года, что мы также легко можем узнать благодаря Polar, он ездил в западную часть США, где катался на велосипеде. Он также отметил пробежку из отеля в Тайланде. Вся эта активность снабжена таймстампами, точными маршрутами, данными о пульсе и количестве сожженных им калорий.
Можно просмотреть и другие военные базы на Ближнем Востоке, в Южной Азии и Африке, найти там западных военных и сопоставить их имена с профилями в социальных сетях, в том числе в LinkedIn. Вот неполный список категорий лиц, которых мы нашли на сайте Polar, установили их личности по публично доступной информации и нашли их дома:
- Военные, бегающие по базам, на которых, как известно или как предполагается, находится ядерное оружие.
- Лица, бегающие по территории штабов спецслужб, а также посольств, местностей близ их домов и в других местах.
- Сотрудники ФБР и АНБ.
- Военные, занимающиеся кибербезопасностью, IT, противоракетной обороной, разведкой и другими важными видами деятельности.
- Члены экипажей подводных лодок, бегающие по базам подводных лодок.
- Управляющий персонал и охрана атомных электростанций.
- Директор производственной компании, который бегает в разных местах по всему миру.
- Американцы в Зеленой Зоне Багдада.
- Российские солдаты в Крыму.
- Военные на базе Гуантанамо.
- Военные у северокорейской границы.
- Военнослужащие авиации, участвующие в боях с «Исламским государством».
Список можно продолжать. Нам удалось автоматически собрать с сайта Polar (еще одна «дыра» в безопасности) информацию о лицах, которые бегают более чем в 200 таких важных местах, и получить список из около 6500 уникальных пользователей. Всего эти пользователи отметили около 650 000 пробежек, указав тем самым места, где они работают, живут и отдыхают.
Разумеется, ничего хорошего для безопасности это не сулит. В странах, где солдатам запрещают носить на улице форму из опасений, что они наткнутся на возможных террористов, теперь кто угодно, у кого есть доступ в интернет и у кого хватит ума зайти на сайт Polar, может узнать их адреса и образ жизни. На данный момент довольно просто узнать время службы, домашний адрес, внешний вид и роль солдата в зоне конфликта. Легко представить, как эту информацию могут использовать экстремисты или спецслужбы. Это вызывает особые опасения, если вспомнить, что нам удалось найти данные сотрудников различных хранилищ ядерного оружия.
Открытые данные Polar представляют риск и для гражданских лиц: кто угодно с помощью Polar может узнать, когда и в течение какого времени пользователь отсутствует дома, или что он(а) находится за границей.
Сезон охоты
Когда вы регистрируете аккаунт, Polar спрашивает у вас имя, местоположение, рост, вес, дату рождения, пол и длительность еженедельных тренировок. Разумеется, можно ввести фейковые данные, однако большинство изученных нами пользователей представили, по-видимому, верную информацию. Кроме подключения аккаунта к Facebook, Polar также предлагает интеграцию с пятью другими приложениями, в том числе Strava, чтобы автоматически делиться всеми пробежками.
Даже если усилить настройки приватности, все равно будет доступно значительное количество данных. Вот несколько примеров:
- Изменение приватности с «публичный» на «только фолловеры» все равно позволяет кому угодно видеть имя, фото и местоположение, введенные во время регистрации. Пользователю также придется отключить опцию, позволяющую другим пользователям автоматически становиться «фолловерами».
- Изменение приватности пробежек (даже до наиболее жесткого варианта) влияет только на новые пробежки. Старые при этом останутся видимыми.
- Другие фитнес-сайты, например Strava, позволяют автоматически предотвратить публикацию местоположения вашего дома или работы. У Polar такой опции нет.
- Возможно удалить отдельные сеансы, однако у многих аккаунтов, по-видимому, отмечены сотни сеансов, что делает этот процесс крайне утомительным.
- На карте есть совершенно приватные сеансы, не связанные больше ни с чем. Однако если найти несколько таких частных сеансов, которые начинаются и заканчиваются у одного и того же дома, можно собрать информацию о том, когда и куда направляется человек, живущий в этом доме.
- Можно легко установить ID пользователей, связанных с «приватными» пробежками, то есть все равно возможно сопоставить сеансы в разных местах с одним и тем же лицом.
Политика приватности была обновлена в августе 2017 года. У новых аккаунтов настройки по умолчанию выставлены на максимальную приватность, что означает, что пользователям приходится самостоятельно настраивать публикацию пробежек. В ответ на наше исследование в Polar заявили, что признают деликатный характер публикуемых данных и решили временно приостановить работу функции “Explore”. В данный момент Polar также работает над другими решениями этих проблем, например возможностью удалить сразу всю историю пробежек.
Недостатки
Как и большая часть открытых источников, программа Polar имеет ограничения. Данные Polar зависят от данных GPS, которые могут быть неточными или фейковыми, как писали Bellingcat в статье об использовании данных Strava. Кроме того, пользователи могут (и, пожалуй, должны) включать и выключать трекеры на некотором расстоянии от дома. Однако это нивелируется тем фактом, что после нескольких пробежек начальние и конечные точки все же можно усреднить до конкретного дома.
Данные как правило достаточно точные, чтобы было понятно, что пользователь находится на улице или на участке конкретного дома. Работать с густонаселенными городами и многоквартирными домами сложнее, хотя большинство трекеров довольно точно отслеживают высоту. В одном из случаев мы отследили сотрудника секретного объекта до многоквартирного дома. Этот человек часто начинал бежать, выйдя из здания, но иногда начинал упражнение на гораздо большей высоте. Разность высот в сочетании с координатами позволила установить конкретный этаж многоквартирного дома.
От себя не убежишь
Нахождение имен и даже адресов солдат с помощью интернета само по себе не ново. Масштабы данных, которые люди (невольно) публикуют в сети, давно вызывают опасения общественности и государственных органов. Различные аккаунты в соцсетях, посты и данные можно сопоставить в достаточно подробный портрет конкретного лица. Как показывает множество статей на Bellingcat и других сайтах, посвященных работе с открытыми источниками, с помощью фото и видео можно узнать много информации и применить их для геолокации. Новость в том, как легко стало отслеживать людей с помощью таких фитнесс-приложений, как Strava, и в особенности какую подробную информацию можно легко получить с помощью Polar.
Американская армия уже пересмотрела правила о фитнес-трекерах. Другие государства также наверняка сделали то же самое. Однако по-прежнему можно установить множество американских пользователей на различных военных объектах. Также следует отметить, что эти данные берутся только с пульсометров Polar, тогда как имеется множество других трекеров и приложений. Например, китайские фитнес-приложения уже используются сотнями миллионов людей и при этом спонсируются государством, которое стремится развивать «различные фитнес-упражнения и специальные спортивные товары».
Фитнес-трекеры и приложения — еще один пример того, что люди должны осознавать, каким данными они делятся, особенно если данные об их местоположении и сердцебиении для них важны. Как и в других случаях, необходимо проверять права приложений, стремиться анонимизировать присутствие в сети, а если вы все равно хотите отслеживать вашу активность, начинать и заканчивать сеансы в общественных местах, а не у дверей своего дома. Наконец, если вы хотите быть полностью уверены, что не раскроете важных данных во время пробежки, просто оставьте трекер дома и бегайте полностью анонимно в свое удовольствие.
Фёке Постма (@FoekePostma) — исследователь по вопросам мира и безопасности. Он работает в PAX, где специализируется на гуманитарном разоружении.
Автору хотелось бы поблагодарить Эрика Толера (@AricToler) за редактуру и обратную связь, а также Уима Зуиненбурга (@wammezz) за неоценимую помощь.
Статьи по теме в De Correspondent:
Main story
Methodology
How we dealt with this sensitive data
Tips for fitness-tracker users