Noll
(Bild: ZDNet/medföljer)
En populär fitness-app som spårar aktivitet uppgifter om miljontals användare har av misstag avslöjade platser av personal som arbetar på militärbaser och underrättelsetjänster.
Appen, Polar Flöde, byggd av sin självbetitlade företaget Polar, en finsk-baserade fitness tracking jätte med kontor i New York, får någon att få åtkomst till en användares aktiviteter fitness över flera år-helt enkelt genom att ändra i webbläsarens webbadress.
För de flesta användare som har satt sin verksamhet spårning register till allmänheten, lägga upp sin träning på polars så kallade Utforska kartan är en funktion och inte ett intrång i den personliga integriteten. Men även med profiler som privat, en användares fitness aktivitet kan avslöja var en person bor.
Ett utsatt läge för alla som arbetar på en regering eller en militär installation kan snabbt bli en nationell säkerhetsrisk.
Det är andra gången detta år till ett fitness-app har väckt kontrovers genom att avslöja platser av personal på känsliga installationer. Strava ändrat sina sekretessinställningar efter ordet spred sig snabbt att fitness-trackers används av militär personal var att utsätta klassificeras rutter mellan baser på slagfältet, vilket gör det enkelt att lansera attacker. Mycket av kontroversen var på grund av att de företag som lagt ansvaret för integritet på användaren, men många är inte medvetna om att deras information är sökbar, för att inte tala nås av vem som helst.
Även om förekomsten av många statliga anläggningar som är allmänt känt, identiteter av deras anställda inte.
Men nu, en undersökning av holländska nyhetssajt De Korrespondent och Bellingcatfound som Polar Kassaflöde utsätts deras fitness tracking data. Företagets utvecklare API kan vara felaktigt ifrågasatt för att hämta fitness aktiviteter, som varje löpning och cykling session, på alla användare.
Mer från De Korrespondent: Denna fitness app låter vem som helst hitta namn och adresser för tusentals soldater och hemliga agenter | Hur vi hittade namn och adresser av soldater och hemliga agenter | Varför vi bestämde oss för att publicera våra resultat | In dina appar
Med två par av koordinater tappade över någon känslig regeringen plats eller anläggning, var det möjligt att hitta namnen på de anställda som bevakar deras lämplighet verksamhet med anor så långt tillbaka som till och med 2014.
Reportrar identifierat mer än 6,400 användare trodde att träna på känsliga platser, inklusive NSA, Vita Huset, MI6 i London, och fånglägret Guantanamo Bay på Kuba, liksom personal som arbetar på utländska militära baser.
Namnen på de tjänstemän och agenter på utländska underrättelsetjänster, som GCHQ i Cheltenham, den franska DGSE i Paris, och den ryska GRU i Moskva, hittades också.
Personal vid kärntekniska anläggningar för lagring, missil silor och fängelser var också upptäckt.
De Korrespondent delade några av data med ZDNet att undersöka.
Det var inte bara möjligt att se exakt var och en användare hade handlat, var det lätt att sätta fingret på exakt när en användare har levt, om de började eller slutade fitness tracking så snart de lämnat sina hus.
Eftersom det inte fanns några gränser för hur många förfrågningar som reportrar kunde göra, i kombination med lätt uppräkningsbara användar-ID nummer, var det möjligt för vem som helst-inklusive skadliga aktörer eller utländska underrättelsetjänster — att skrapa fitness aktivitet uppgifter om miljontals användare.
Men de fann också att de kunde lura API till att hämta fitness tracking data på privata profiler.
Bagram Flygfält, Afghanistan. (Bild: De Korrespondent/medföljer)
Brittiska Secret Intelligence Service (MI6), London. (Bild: De Korrespondent/medföljer)
I tätbefolkade områden som Vita Huset, antalet vanliga människor att spåra deras lämplighet i närheten ligger högre, lägga till en hel del oönskat brus i data, men enstaka militära läger och regeringen grunder gav bättre resultat..
De Korrespondent förklarade i en ytterligare rapport hur lätt det var att följa runt en Polar användaren, som tros vara en officer vid den nederländska staten intelligence service, i hela världen, och även hitta sin hemadress. Men, i vissa länder, som Nederländerna, avslöjar en intelligens officer identitet är olagligt, reportrar påpekade.
ZDNet kunde spåra en person som utövas i närheten för att NSA huvudkontor i Ft. Meade. Användaren senare började sin motion tracking som han lämnade sitt hus i närheten av Virginia. Genom offentliga register, att vi bekräftat hans namn, och sin roll som ledande militär tjänsteman.
Läs mer: Hur Strava “anonyma” fitness tracking data som spillts ut statshemligheter | Forskare hittat ett sätt att avslöja att Strava användare’ dolda platser | Strava lektion: Dela med dig av fitness uppgifter på nätet? Kontrollera sekretessinställningarna nu | Passform genom att Data: När uppgifter som överlappar varandra och fitness
En annan person, också tros vara en NSA staffer baserat på Ft. Meade, konstaterades att utöva nära till fånglägret Guantanamo Bay.
Den holländska reportrar fann också fitness tracking data från flera utländska militären och underrättelsetjänsten nära känsliga anläggningar i USA.
Uppgifterna kan bygga upp en oroande bild av en persons liv, var de bor, var de går, och öppna upp vägar för att ta reda på mer om vilka de är och som de vet.
Men medan vissa skulle kalla det obehagligt och irriterande, andra skulle kalla det för spionage.
Joseph Lorenzo Hall, chief technologist, på Center for Democracy & Technology, kommenterade exponering.
“Det är förmodligen ett led i vår senaste historia eller framtid förflutna som du inte kan vara en spion längre,” sade han.
Efter en privat utlämnande, Polar tog sin karta offline strax innan det publiceras.
I ett uttalande skickas med Polar chief strategy officer Marco Suvilaakso, sade företaget att det “nyligen har lärt sig att offentliga läge data som delas av kunder via Utforska funktionen i Flödet kan ge en inblick i potentiellt känsliga platser.”
Bolaget förnekade en läcka eller en överträdelse av dess system.
“För närvarande den stora majoriteten av Polar kunder upprätthålla den standard privata profiler och privata sessioner data inställningar, och inte påverkas på något sätt av detta fall,” sade uttalandet. “Medan beslutet till opt-in och dela med träning och GPS-data är det val och ansvar för kunden, vi är medvetna om att potentiellt känsliga platser som förekommer i offentlig data, och har fattat beslut om att tillfälligt avbryta Utforska API.”
Vi frågade Polar om denna data exponering, särskilt avslöjande av vissa hem adresser på privata profiler, utgjorde en överträdelse av Eu: s nya lagstiftning om skydd av personuppgifter-som kallas GDPR.
“Ja, vi är GDPR kompatibla,” sade Suvilaakso.
Polar inte avslöja sina användare siffror, men De Korrespondent hittade fler än 30 miljoner användare-Id.
NSA huvudkontor i Fort Meade, MD. (Bild: De Korrespondent/medföljer)
DGSE huvudkontor i Paris. (Bild: De Korrespondent/medföljer)
Guantanamo Bay fångläger. (Bild: De Korrespondent/medföljer)
De Korrespondent kontaktade holländska och finska myndigheter för att säkra Polar ‘ s plattform, medan ZDNet kontaktade flera AMERIKANSKA myndigheter om de uppgifter exponering.
Vi kontaktade flera statliga myndigheter, inklusive Office of the Director of National Intelligence, som övervakar underrättelsetjänsten och dess organ. Talesman Charles Carithers sade torsdag ODNI var “medveten om de potentiella effekterna” av utrustning för att samla in och rapportera personliga och geografiska data.
“Användningen av personlig lämplighet och liknande anordningar av personer som är engagerade i OSS statligt stöd bestäms och styrs av respektive myndighet och departement”, sade han.
NSA talesperson Brynn Freeland sade byrån “har på plats och upprätthåller politik när det gäller användning av bärbara fitness apparater inom kontrollerade områden,” men inte säger vad de politik.
“Vi har dessutom en pågående utbildnings-kampanj för vår personal att fokusera på förhållandet mellan teknik, integritet och driftsäkerhet,” sade han.
CIA: s talesperson Ryan Trapani har avböjt att kommentera, eller ge sina riktlinjer om användning av personlig fitness utrustning, och Vita Huset inte kommentera när nått torsdag. En talesman för Nationella säkerhetsrådet också att inte kommentera.
FBI kom inte tillbaka en begäran om en kommentar. En talesman för Pentagon inte svara på en begäran om kommentar heller.
I tidigare rapporter, den avdelning som svarar för den militära sa att det “tar saker som dessa på största allvar.” Tidigare vägledning visar militär personal är inte tillåtet att använda fitness-trackers att innehålla Wi-Fi eller cellulära funktioner, men det tillåter Bluetooth och GPS-enheter för att synkronisera data till telefoner.
Polar är inte bara fitness tracking företag oavsiktligt utsätta användaren data. Andra fitness-appar haft liknande problem, även om de reportrar sade de exponeringar som inte var i samma utsträckning som Polar.
Polar bad om ursäkt för den olägenhet som orsakas av att upphäva kartan.
“Men vårt mål är att höja nivån av skydd för privatlivet och för att öka medvetenheten om god personlig praxis när det gäller att dela GPS-data,” sade företaget.
Fick ett tips?
Du kan skicka tips säkert över Signal-och WhatsApp på 646-755-8849. Du kan också skicka PGP e-post med fingeravtryck: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Forskare säger att en breathalyzer har brister, kastar tvivel på otaliga domar
Stämningar hotar infosec forskning — precis när vi behöver det som mest
NSA: s Ragtime-programmet mål Amerikaner, läckt ut filer visa
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0