Спортивный шпионаж. Как приложение для фитнеса стало угрозой для военных и спецслужб всего мира
Настройки конфиденциальности. Как данные оказались доступными
На сайте проекта Strava, международной социальной сети для спортсменов, много слоганов о том, как с помощью приложения поднять свою мотивацию. «Не просто следите за своими достижениями — делитесь ими. Спортсмены Strava бывают в восхитительных местах», — рассказывают авторы проекта.
Разработчики утверждают, что информация, которую пользователи отправляют или публикуют в Strava, может быть видна другим в зависимости от настроек конфиденциальности. Доступными посторонним могут стать и сведения о физическом нахождении устройств. Strava может собирать и отправлять с телефонов такие данные, как скорость и направление движения, если пользователь не отключил геолокацию.
Кроме того, приложение собирает и анонимизирует информацию об участниках для использования авторами проекта в рабочих целях. Разработчики предупреждают, что могут получить доступ к текстам, программному обеспечению, аудио, фотографиям, видео, сообщениям, тегам и другим материалам, которые публикуют сами пользователи. Strava может использовать, продавать и передавать эту информацию третьим лицам, например, для социологических исследований.
Тепловая карта активности пользователей. О чем можно узнать из карты Strava
В ноябре 2017 года Дрю Робб, специалист по инженерии данных Strava, анонсировал крупное обновление «тепловой карты активности» — результат сбора 10 терабайт открытых данных от пользователей. На этой карте зафиксировано более миллиарда действий: бег, плавание, поездки на велосипедах, а также маршруты.
Приложение оказалось популярным в том числе и среди действующих военных, которые занимаются спортом во время службы или даже просто совершают патрулирование — Strava продолжала собирать данные геолокации и отправлять их разработчикам. На эту уязвимость обратил внимание аналитик в области безопасности и военных конфликтов Натан Расер: «Strava опубликовала глобальную тепловую карту активности. 13 триллионов GPS-точек, собранных с пользователей (доступ к данным можно выключить в приложении). Выглядит красивенько, но не так круто для безопасности военной информации. На карте легко найти военные базы США».
Strava released their global heatmap. 13 trillion GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not amazing for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq
— Nathan Ruser (@Nrg8000) 27 января 2018 г.
Очень быстро наличие активности стали проверять в местах военных конфликтов: например, неподалеку от иракского Мосула, где последние два года разворачивалась военная операция «Фатах» — коалиции иракской армии, США, Великобритании, Франции, Германии, Ирака, ОАЭ и Турции против ИГИЛ.
So much cool stuff to be done. Outposts around Mosul (or locals who enjoy running in close circles around their houses): pic.twitter.com/wHItJwYUUI
— Tobias Schneider (@tobiaschneider) 27 января 2018 г.
«Столько всего любопытного! Форпосты вокруг Мосула (ну или местные любят нарезать крохотные круги вокруг своих домов)».
Также пользователи соцсетей обратили внимание на разницу в использовании приложения в КНДР и Южной Корее.
Strava's new global heat map is fascinating. The contrast here between north and south Korea is pretty stark. pic.twitter.com/0aYsbvatsP
— Scott Davies (@_scottdavies) 28 января 2018 г.
Деперсонализация данных. Действительно ли открытые данные Strava анонимны
Конечно, Strava — не первые, кто публикует открытые данные о военных базах во всем мире, раньше них это сделали, например, Google Maps. Однако не все пользователи этого приложения в курсе, какую информацию они распространяют, не разобравшись в настройках конфиденциальности. После находки Натана Расера в Strava заявили, что приложат дополнительные усилия, чтобы рассказать участникам сети, как обеспечить конфиденциальность, а также что собранные для тепловой карты данные в любом случае анонимизированы.
Однако и это оказалось не совсем так: энтузиасты из соцсетей обнаружили, что, если на сайте приложения подставить в ссылку цифровой идентификатор маршрута, можно увидеть, кто из пользователей приложения показал на этом маршруте наилучшие результаты, и просмотреть их публичные профили.
It just keeps getting deeper. You can also trivially scrape segments, to get a list of people who travelled a route, and trivially obtain a list of users. #Strava pic.twitter.com/U9DnPsyHUD
— Paul D (@Paulmd199) 28 января 2018 г.
Представитель Центрального командования США полковник Джон Томас уже заявил, что последствия публикации карты еще предстоит оценить и изучить.
Сооснователь группы Conflict Intelligence Team Руслан Левиев, расследующей участие России в военных конфликтах на Украине и в Сирии, рассказал «Снобу», что военные аналитики и исследователи конфликтов со всего мира знали об этой информационной уязвимости задолго до того, как о ней написали СМИ: «Мы начали анализировать карту достаточно давно. Пока что я не могу сказать, приведет ли это к каким-то большим расследованиям. Однако мы, несомненно, получили много полезной для нас информации».
Левиев добавил, что открытые данные являются одним из главных ресурсов для журналистов-расследователей и сотрудников исследовательских организаций: «Мы живем в век информационного общества, и вся человеческая деятельность оставляет много цифровых следов. Остается только анализировать огромные массивы данных и, связывая по крупицам отдельные части, и проводить убедительные расследования. Вспомните историю с акцией актера Шайа Лабафа (актер организовал live-стрим против Дональда Трампа, разместив в неизвестном месте флаг с надписью «Он нас не разъединит», «He Will Not Divide Us». — Прим. ред.): анонимные люди из интернета определили местонахождение его флага по времени заката и рассвета, сводке погоды, следам самолетов в небе и даже расположению звезд».
Что интересного в Strava узнали о России
Корреспондент Mashable Кристофер Миллер говорит: «Сейчас доступ к донецкому аэропорту есть только у русских военных и сепаратистов. Данные Strava показывают, где прошли боевые действия, какие дороги использовались чаще всего и где располагались ключевые позиции».
The only people to have access to ruined Donetsk airport these days are Russian & separatist military types. Strava data appears to show their operating area & most-traveled paths to & from key locations. pic.twitter.com/qXjih5BoSD
— Christopher Miller (@ChristopherJM) 29 января 2018 г.
Так на карте Strava выглядит российская авиабаза Хмеймим в сирийской провинции Латакия, которую в начале января атаковали беспилотники, предположительно «Исламского государства».
The north end of Russia's Hmeimim airbase in Latakia, Syria is where all the jocks hang out. pic.twitter.com/cKZmZbNInR
— Adam Rawnsley (@arawnsley) 27 января 2018 г.
Координатор журналистских расследований Bellingcat Эрик Толер рассказал «Снобу», что, судя по карте, мало кто использует это приложение в местах, которые могут быть интересны для получения неожиданной информации о России и Украине. Это наглядно показывает, например, скриншот с Кузьминского полигона, где, как рассказал Толер, за последние три года военного конфликта на юго-востоке Украины побывали тысячи российских военных. Очень малое количество людей перемещались по нему с включенной геолокацией приложения Strava.
«Намного более интересной и содержательной, — рассказывает Толер, — стала информация о локации американских и натовских солдат. Потому что информация из трекинг-приложения становится косвенным доказательством активности на военных базах». Эксперты Bellingcat также проверили российские базы на крайнем севере и в Арктике, но не нашли никакой полезной информации. «Эта “утечка” непропорционально рассказывает нам о том, что происходит в России и странах СНГ и в Западных странах. Так что российским спецслужбам будет интересно и весело анализировать эти данные», — заключил Толер.