Мой дом — моя слабость

Приложение для бега Polar от производителя фитнес-датчиков публиковало информацию о маршрутах пробежек военных. Любой мог увидеть не только результаты физических упражнений армейцев, но и узнать их личные данные — имя и домашний адрес.  

От двери до двери

Производитель фитнес-датчиков Polar в фирменном приложении публиковал личные данные тысяч военных. Интерактивная карта на сайте сервиса показывала не только маршруты бегунов с 2014 года, но и демонстрировало логины пользователей, зачастую созвучные реальным именам. Голландское издание De Correspondent и исследовательская группа Bellingcat установили местоположения нескольких десятков секретных объектов, а также проследили за пользователями «от двери до двери».

Платформа Polar Flow, с помощью которой спортсмены делились своими результатами, похожа на аналогичный сервис от Strava. Благодаря ему в январе журналисты обнаружили несколько американских баз в Сирии и Ираке, а также узнали о популярных беговых маршрутах вокруг Пентагона и тюрьмы в Гуантанамо. Strava закрыла данные пользователей после публикаций СМИ, а американские военные даже пересмотрели правила обращения с фитнес-трекерами. Это не помогло предотвратить очередную утечку, после которой стали видны не только маршруты, популярные среди военных, но и их имена плюс домашние адреса.

Что ты делал прошлым летом

Сайт Polar, в отличие от Strava, публикует все данные пользователя на одной карте. Любой желающий мог узнать скорость, пульс, дату и время пробежки. Также можно было определить место жительства бегуна — необходимо только отследить его на карте и посмотреть, где начинается или заканчивается трек. Как только спортсмен включал или выключал свой датчик уходя из дома, приложение начинало отслеживать его активность, отмечая место жительства на карте.

Узнав домашний адрес бегуна, любопытные пользователи могли узнать и его имя. В Polar большая часть спортсменов использует настоящие данные вместо логина либо очень похожее сочетание символов, например фамилию и первую букву имени. Также пользователь может связать аккаунты в Polar и Facebook. Эта особенность выдавала актуальную фотографию профиля, таким образом внимательный наблюдатель получал полный набор личных данных за четыре года.

Голландские журналисты предупреждают, что любой мог в течение этого времени разглядывать американские (или любые другие) военные базы и отслеживать расписание и привычки персонала. Так исследователи обнаружили и верифицировали данные нескольких офицеров, работавших на одной из военных баз США, где хранятся ядерные боеголовки. «Всего несколько кликов — и вы видите высокопоставленного офицера, который бегает вокруг хранилища ядерных ракет каждое воскресенье рано утром. Потом он бежит по любимому маршруту через лес, а останавливается на парковке недалеко от места службы», — описывают журналисты полученные данные. Они указывают, что им также удалось узнать имя и адрес этого офицера.

Таким же образом журналисты обнаружили активность американского контингента в Афганистане. Им удалось подтвердить личность нескольких пользователей Polar, сверившись с данными о военных в социальных сетях. Благодаря информации на сайте исследователи узнали о сроках командировки офицера в Афганистан, количестве таких командировок, а также о месте для дислокации подразделения, где военный проходил подготовку. По результатам расследования в руки журналистов попали данные о военном персонале десятков американских баз, сотрудниках ФБР и Агентства национальной безопасности, персонале подводных лодок и местах их базирования. Рассекреченные данные касались не только американских военных, но и российских солдат в Крыму. Всего была собрана информация о 650 тысячах пробежек более чем 6 500 пользователей.

Высокая цена личных данных

Публикация подобных данных может стоить слишком много, считают авторы расследования. До публикации материала они обратились в компанию Polar, которая уже заблокировала доступ к сервису Flow и извинилась перед пользователями на официальном сайте. Журналисты тем не менее напоминают, что публикация такой информации может стоить кому-то из американских военных жизни.

Ранее приложение Strava опубликовала общую карту всех пользователей, подсветив места, где чаще всего пользуются этим приложением. Оказалось, что весомую часть клиентской базы Strava составляли военные, в том числе и американские. Военнослужащим США выдавали специальные фитнес-датчики в рамках кампании по борьбе с лишним весом в армии. Эти датчики, связанные с приложением, указали ряд военных объектов, о которых не было известно ранее. Досталось и российским военным: их передвижения на базах Хмеймим и Тартус в Сирии также попали на карту.

Публикация таких данных, по мнению заместителя директора Института политического и военного анализа Александра Храмчихина, может привести к ужасным последствиям. «Публикация личных данных — это не очень хорошо: террористы могут проследить и захватить военного, угрожать его семье. Сценарии могут быть абсолютно любые», – указывает эксперт. Он отмечает, что утечки в текущем году показывают отсутствие каких-то действий в этом направлении в Российской армии. «Запрет на использование телефонов не очень помогает. Вы можете запретить солдатам пользоваться ими, но кто будет следить за офицерским составом?» — спрашивает Храмчихин.