Polar Flow upublicznia lokalizacje żołnierzy oraz baz wojskowych z całego świata

Holenderska agencja informacyjna De Corespondent razem z ekspertami z kryminalistyki, przedstawiła obawy dotyczące narażania życia żołnierzy przebywających na tajnych misjach. Obawy dotyczą aplikacji fitnesowej Polar Flow, z której można pozyskać informacje na temat lokalizacji i dane osobowe, takie jak adres czy nazwiska członków rodziny.

Polar Flow a wrażliwe dane

Do wrażliwych danych udało się dotrzeć w prosty sposób, nie były potrzebne żadne specjalistyczne umiejętności. Aplikacja Polar Flow zawiera moduł „Explore” służący anonimowemu dzieleniu się wynikami, i porównywaniu swoich osiągnięć z innymi anonimowymi użytkownikami. Na publicznie udostępnionej przez aplikację mapie (dostępna dla każdego, kto ma konto w aplikacji) można sprawdzić trasę każdego biegu, jazdy na rowerze, czy przepłynięty przez użytkowników dystans od 2014 roku. Wystarczy odrobina sprytu, by na podstawie analizy zebranych danych poznać tożsamość użytkowników, oraz ich aktualne miejsce pobytu.

Problem jest poważny, ponieważ usługa jest popularna wśród wojskowych, których lokalizacja powinna pozostać nieznana. Według ekspertów, w prosty sposób można było pozyskać dane osobowe, zdjęcia profilowe i dane lokalizacyjne 6400 pracowników wojskowych wysokiego szczebla z 69 krajów, w tym oficerów wywiadu.

Za pośrednictwem aplikacji można było poznać miejsce pobytu funkcjonariuszy amerykańskiej agencji wywiadowczej NSA, brytyjskiego GCHQ i MI6, rosyjskiego GRU i SVR RF, francuskiego DGSE czy holenderskiego MIVD oraz poznać nazwiska i adresy oficerów pracujących w bazach wojskowych Guantánamo Bay na Kubie, Erbil w Iraku, Gao w Mali oraz baz w Afganistanie, Arabii Saudyjskiej, Katarze, Czadzie i Korei Południowej. Udało się też dotrzeć do informacji dotyczących personelu ważnych strategicznych obiektów wojskowych takich jak: magazyny broni jądrowej, więzienia o zaostrzonym rygorze, lotniska wojskowe i bazy dronów.

Przedstawiciele Polar wydali oświadczenie, iż żadne dane nie wyciekły na skutek włamania do ich baz danych. Podjęto jednak decyzję o wyłączeniu funkcji dzielenia się osiągnięciami. Według przedstawicieli Polar odpowiedzialność leży po stronie użytkowników, funkcja publicznego dzielenia się osiągnięciami jest domyślnie wyłączona.

„Często wrażliwe dane dostępne są na wyciągnięcie ręki, by je pozyskać wystarczy odrobina sprytu, nie jest potrzebna wiedza na temat łamania zabezpieczeń. Pytanie, po czyjej stronie leży w takich przypadkach odpowiedzialność, na dostawcy usługi czy na użytkownikach bagatelizujących dbanie o własną prywatność” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.

 

„Ważne jest aby zdawać sobie sprawę, że nie wykradziono żadnych wrażliwych danych na skutek włamania do systemów” – stwierdzili przedstawiciele Polar. „Większość użytkowników aplikacji pozostawia domyślne ustawienia prywatności. Decyzja o zmianie ustawień domyślnych i włączenie udostępniania danych z sesji treningowych oraz danych o lokalizacji jest świadomym wyborem i nie mamy na to wpływu. Zdajemy sobie jednak sprawę z problemu, że potencjalnie wrażliwe dane mogą zostać pozyskane z publicznie dostępnych logów aktywności użytkowników i podjęliśmy decyzję o wyłączeniu usługi publicznego dzielenia się wynikami”.