Izraelscy żołnierze byli śledzeni przez nieznanych aktorów z wykorzystaniem aplikacji Strava, która umożliwia rejestrowanie ćwiczeń sportowych, takich jak np. jazda rowerem czy biegi. 

Tajemniczy obserwatorzy umieścili w Stravie sfabrykowane rejestry ćwiczeń biegowych, które pozwoliły uśpić czujność żołnierzy, nawet tych, którzy w swoich ustawieniach prywatności w Stravie wybrali te najbardziej restrykcyjne.

Stalking w bazach nuklearnych i na delegacjach zagranicznych

Dziennik „Guardian" podaje, że w przypadku jednego z wojskowych, dane ze Stravy ujawniły jego trasy biegowe wokół jednej z baz powiązanych z izraelskim programem jądrowym, jak i aktywność sportową podczas pobytu w innym kraju na delegacji.

Operację, którą śmiało można nazwać działaniem szpiegowskim, wycelowaną w izraelskich żołnierzy, wykryła firma działająca w segmencie usług wywiadowczych FakeReporter, która skontaktowała się z izraelską armią natychmiast po wykryciu tajemniczej aktywności, nazwanej przez nią wprost naruszeniem bezpieczeństwa danych.

Jak to możliwe, że aplikacja Strava posłużyła do śledzenia żołnierzy?

Narzędzia Stravy do monitorowania aktywności fizycznej pozwalają każdemu na rejestrowanie „segmentów" ćwiczeń wykonywanych na zewnątrz. Można to zrobić zarówno „na żywo", podczas jazdy rowerem lub biegu, ale też i po zakończeniu ćwiczenia, przez manualne wgranie do aplikacji danych, zebranych wcześniej przez inne aplikacje korzystające z GPS. 

W takim wypadku umieszczenie fałszywych rejestrów ćwiczeń w apce nie jest żadnym problemem i bez trudu może posłużyć do zamaskowania podejrzanej aktywności. „Guardian" zwraca uwagę, że analiza rekordów w aplikacji daje do myślenia – niektóre zarejestrowane segmenty w oczywisty sposób są sfabrykowane, bo pokazują na załączonych mapach tras nienaturalnie proste linie, bądź też ćwiczenia, których nie dałoby się wykonać fizycznie, np. setki przebiegniętych kilometrów w ciągu godziny. Jednak, żeby wykryć oszustwo, trzeba przyjrzeć się zapisom, a to już wymaga czasu, jak i podejrzeń. 

Anonimowy obserwator z Bostonu

Jednym z aktorów śledzących uważnie ruchy izraelskich wojsk był tajemniczy użytkownik aplikacji Strava, którego lokalizacja została zdefiniowana jako Boston w stanie Massachusetts. To właśnie z jego konta w aplikacji umieszczono kilka fałszywych segmentów ćwiczeń, które pozwoliły zmylić uwagę wojskowych i spokojnie śledzić ćwiczenia żołnierzy, wykonywane w pobliżu baz w Izraelu, jak i budynków należących do służb wywiadowczych tego kraju. 

Obchodzenie ustawień prywatności

Wykorzystanie fałszywych rejestrów ćwiczeń pozwala na obejście ustawień prywatności Stravy. Poruszając się po trasach zdefiniowanych w segmentach innych osób, nasze ćwiczenia stają się publicznie widoczne – mimo tego, że możemy na swoim koncie mieć ustawione najbardziej restrykcyjne preferencje, dotyczące prywatności. 

Strava odniosła się do sprawy informując media, że „traktuje kwestie związane z prywatnością bardzo poważnie". Firma przyznała też, że została poinformowana o problemie ujawnienia lokalizacji izraelskich żołnierzy przez FakeReportera i podjęła działania w sprawie tajemniczego użytkownika z Bostonu, którego profil był wykorzystywany do umieszczania w aplikacji fałszywych segmentów aktywności.

To nie pierwsze kłopoty wojska ze Stravą

W 2018 roku Strava zaliczyła ogromną wpadkę, publikując wizualizację całej aktywności fizycznej wszystkich użytkowników na świecie. Infografika zawierała dane m.in. o najpopularniejszych trasach biegowych i rowerowych. Problem polegał na tym, że tym samym ujawniono m.in. bazy wojskowe w Afganistanie, czy inne wrażliwe lokalizacje związane z wojskiem.

Firma doradziła wówczas żołnierzom, korzystającym ze Stravy, aby nie umieszczali w aplikacji wizualizacji tras swoich ćwiczeń. Gdyby tego nie robili, to dane o lokalizacjach wojskowych nie zostałyby ujawnione – argumentował operator platformy, która domyślnie wykorzystała wizualizacje wszystkich użytkowników korzystających z tej funkcji w ramach aplikacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu.Piszcie do nas na: [email protected].