Finsk fitness selskapet Polar har midlertidig suspendert Utforske, den globale aktiviteten kart etter et par rapporter fra De Korrespondent og Bellingcat (via ZDNet) påpekte feil i appens innstillinger for personvern som gjorde det lett for noen å finne plasseringen data om brukere, som et ekko av en lignende personvern hendelse med en annen trenings-app tidligere i år. Det er et urovekkende funn, som en rapport som var i stand til å bruke informasjonen til å finne navn og adresser til tusenvis av brukere som viste seg å fungere for militæret og etterretningstjenesten.
Polar er en Ferdig selskap som produserer et stort utvalg av smarte enheter, inkludert Polare Balanse smart skala, M600 smartwatch, og M430 kjører se, alle som er koble til selskapets fitness app, Polar Flyt. Selskapets enheter jobber sammen for å spille inn en vekt og aktivitet, som kan vises på en brukers online profil. Brukere kan få sin informasjon inkludert i Utforske, men kan også velge å få sine profiler merket som private, som Polar sier at tjenesten med å dele denne informasjonen til tredjepart apps som Facebook.
Felles undersøkelse funnet at noen kunne bruke data fra Polar kartet til å finne sensitive militære områder, samt nok informasjon til å finne en brukers navn og adresse. Brukeren aktivitet ble plottet på Utforske, inkludert aktiviteter av personell kjemper ISIS i Irak. Men i motsetning til Strava, som ble funnet å rett og slett avslørt potensielt sensitive posisjonsdata tidligere i år, journalister var i stand til å grave dypere og finne navn og adresser til Polar brukere, inkludert militære personell fra ulike militære og etterretning etater rundt om i verden.
Ved hjelp av informasjon innsamlet fra kart, rapporter var i stand til å finne ut navnene på 6,460 brukere som har fungert i nærheten av sensitive steder
De Korrespondent forteller at det er funnet at Polar Utforske kart holder oversikt over hver brukerens aktivitet siden 2014, og at ved hjelp av denne beskjed, det var i stand til å finne 6,460 brukere som har brukt tjenesten i nærheten av sensitivt utstyr. Fordi hver bruker ble identifisert med aktivitet, journalister var i stand til å bruke deres navn og byen for å kryss-referanse informasjonen til å finne ut en brukers hjem-adresse.
Mer bekymringsfullt, De Korrespondent merk at Polar Flow hadde en feil som gjorde det mulig for dem å få informasjon fra brukere som hadde merket sine private profiler, og at API-ikke sette et tak på antall forespørsler for at noen kunne gjøre, å tillate dem å trekke opp en brukers hele treningen historie, som de sier “gjort det mye enklere å bestemme deres hjemmeadresse, der folk er trening ofte begynner og slutter.” Bellingcat bemerket at det var i stand til å skrape Polar ‘ s hjemmeside for å få informasjon om bestemte steder, og samlet opp en betydelig mengde data.
Selskapet hadde ikke sette en cap på API-forespørsler, som betyr at noen kunne få en utrolig mengde data
I lys av rapportene, Polar utstedt en uttalelse fredag, be om unnskyldning for tilsyn og at det var utsette Utforske funksjonen i Flyten app, forklarte at det hadde vært noe brudd på private data, og at det er “å analysere de beste alternativene som vil tillate Polar kunder å fortsette å bruke Utforske funksjonen mens du tar ytterligere tiltak for å minne kundene til å unngå offentlig deling GPS-filer av følsomme steder.”
Tidligere dette året, fitness plattform Strava skapte overskrifter da en forsker peker på at dens varme kart avslørt plasseringen av militære installasjoner i land som Tyrkia og Afghanistan, potensielt utsette aktiviteter og rutiner soldater i eksterne baser, mens security forskere fant ut at personvern funksjoner var ganske svak. Selskapet stille strømlinjeformet sin opt-out funksjonen for sin varme kart kort tid etter åpenbaringen, og sa at det ville det legge til nye restriksjoner og oppdatere sine data månedlig for å hindre akkumulering av data som er bekymret for sikkerheten eksperter. Denne siste hendelsen er en annen i en lang rekke med eksempler på hvor selskapene ikke sette strenge krav til sikkerhet på data de samler, som potensielt kan bli utnyttet av dårlige skuespillere.