Настройки конфиденциальности. Как данные оказались доступными

На сайте проекта Strava, международной социальной сети для спортсменов, много слоганов о том, как с помощью приложения поднять свою мотивацию. «Не просто следите за своими достижениями — делитесь ими. Спортсмены Strava бывают в восхитительных местах», — рассказывают авторы проекта.

Разработчики утверждают, что информация, которую пользователи отправляют или публикуют в Strava, может быть видна другим в зависимости от настроек конфиденциальности. Доступными посторонним могут стать и сведения о физическом нахождении устройств. Strava может собирать и отправлять с телефонов такие данные, как скорость и направление движения, если пользователь не отключил геолокацию.

Кроме того, приложение собирает и анонимизирует информацию об участниках для использования авторами проекта в рабочих целях. Разработчики предупреждают, что могут получить доступ к текстам, программному обеспечению, аудио, фотографиям, видео, сообщениям, тегам и другим материалам, которые публикуют сами пользователи. Strava может использовать, продавать и передавать эту информацию третьим лицам, например, для социологических исследований.

Тепловая карта активности пользователей. О чем можно узнать из карты Strava

В ноябре 2017 года Дрю Робб, специалист по инженерии данных Strava, анонсировал крупное обновление «тепловой карты активности» — результат сбора 10 терабайт открытых данных от пользователей. На этой карте зафиксировано более миллиарда действий: бег, плавание, поездки на велосипедах, а также маршруты.

Изображение: Strava Labs
Изображение: Strava Labs

Приложение оказалось популярным в том числе и среди действующих военных, которые занимаются спортом во время службы или даже просто совершают патрулирование — Strava продолжала собирать данные геолокации и отправлять их разработчикам. На эту уязвимость обратил внимание аналитик в области безопасности и военных конфликтов Натан Расер: «Strava опубликовала глобальную тепловую карту активности. 13 триллионов GPS-точек, собранных с пользователей (доступ к данным можно выключить в приложении). Выглядит красивенько, но не так круто для безопасности военной информации. На карте легко найти военные базы США».

 

Очень быстро наличие активности стали проверять в местах военных конфликтов: например, неподалеку от иракского Мосула, где последние два года разворачивалась военная операция «Фатах» — коалиции иракской армии, США, Великобритании, Франции, Германии, Ирака, ОАЭ и Турции против ИГИЛ.

 

«Столько всего любопытного! Форпосты вокруг Мосула (ну или местные любят нарезать крохотные круги вокруг своих домов)».

Также пользователи соцсетей обратили внимание на разницу в использовании приложения в КНДР и Южной Корее.

 

Деперсонализация данных. Действительно ли открытые данные Strava анонимны

Конечно, Strava — не первые, кто публикует открытые данные о военных базах во всем мире, раньше них это сделали, например, Google Maps. Однако не все пользователи этого приложения в курсе, какую информацию они распространяют, не разобравшись в настройках конфиденциальности. После находки Натана Расера в Strava заявили, что приложат дополнительные усилия, чтобы рассказать участникам сети, как обеспечить конфиденциальность, а также что собранные для тепловой карты данные в любом случае анонимизированы.

Однако и это оказалось не совсем так: энтузиасты из соцсетей обнаружили, что, если на сайте приложения подставить в ссылку цифровой идентификатор маршрута, можно увидеть, кто из пользователей приложения показал на этом маршруте наилучшие результаты, и просмотреть их публичные профили.

 

Представитель Центрального командования США полковник Джон Томас уже заявил, что последствия публикации карты еще предстоит оценить и изучить.

Сооснователь группы Conflict Intelligence Team Руслан Левиев, расследующей участие России в военных конфликтах на Украине и в Сирии, рассказал «Снобу», что военные аналитики и исследователи конфликтов со всего мира знали об этой информационной уязвимости задолго до того, как о ней написали СМИ: «Мы начали анализировать карту достаточно давно. Пока что я не могу сказать, приведет ли это к каким-то большим расследованиям. Однако мы, несомненно, получили много полезной для нас информации».

Левиев добавил, что открытые данные являются одним из главных ресурсов для журналистов-расследователей и сотрудников исследовательских организаций: «Мы живем в век информационного общества, и вся человеческая деятельность оставляет много цифровых следов. Остается только анализировать огромные массивы данных и, связывая по крупицам отдельные части, и проводить убедительные расследования. Вспомните историю с акцией актера Шайа Лабафа (актер организовал live-стрим против Дональда Трампа, разместив в неизвестном месте флаг с надписью «Он нас не разъединит», «He Will Not Divide Us». — Прим. ред.): анонимные люди из интернета определили местонахождение его флага по времени заката и рассвета, сводке погоды, следам самолетов в небе и даже расположению звезд».

Что интересного в Strava узнали о России

Корреспондент Mashable Кристофер Миллер говорит: «Сейчас доступ к донецкому аэропорту есть только у русских военных и сепаратистов. Данные Strava показывают, где прошли боевые действия, какие дороги использовались чаще всего и где располагались ключевые позиции».

 

Так на карте Strava выглядит российская авиабаза Хмеймим в сирийской провинции Латакия, которую в начале января атаковали беспилотники, предположительно «Исламского государства».

  

Координатор журналистских расследований Bellingcat Эрик Толер рассказал «Снобу», что, судя по карте, мало кто использует это приложение в местах, которые могут быть интересны для получения неожиданной информации о России и Украине. Это наглядно показывает, например, скриншот с Кузьминского полигона, где, как рассказал Толер, за последние три года военного конфликта на юго-востоке Украины побывали тысячи российских военных. Очень малое количество людей перемещались по нему с включенной геолокацией приложения Strava.

«Намного более интересной и содержательной, — рассказывает Толер, — стала информация о локации американских и натовских солдат. Потому что информация из трекинг-приложения становится косвенным доказательством активности на военных базах». Эксперты Bellingcat также проверили российские базы на крайнем севере и в Арктике, но не нашли никакой полезной информации. «Эта “утечка” непропорционально рассказывает нам о том, что происходит в России и странах СНГ и в Западных странах. Так что российским спецслужбам будет интересно и весело анализировать эти данные», — заключил Толер.