Finnische fitness-Unternehmen Polar wurde vorübergehend ausgesetzt, Erforschen, seine Globale Aktivität Karte nach ein paar Berichte aus der De-Korrespondent und Bellingcat (via ZDNet) wies auf Mängel in der app die Privatsphäre-Einstellungen, die es einfach für jemanden zu suchen, der Standort-Daten der Benutzer, in Anlehnung an eine ähnliche Datenschutz-Vorfall mit einem anderen fitness-app zu Beginn dieses Jahres. Es ist eine beunruhigende Entdeckung, als ein Bericht war in der Lage, die Informationen zu verwenden, suchen Sie die Namen und Adressen von tausenden von Nutzern, die schien zu funktionieren für die Militär-und Geheimdienste.
Polar ist ein Finish Firma, produziert eine Vielzahl von intelligenten Geräten, einschließlich der Polar-Balance smart-Waage, die M600 smartwatch, und M430 Laufuhr, die alle eine Verbindung zu der Firma fitness-app, Polar Flow. Den Geräten des Unternehmens zusammen arbeiten, um die Platte zu einer dem Gewicht und der Aktivität, die angezeigt werden können auf einem Benutzer online-Profil. Benutzer können Ihre Informationen in Erkunden, sondern können auch entscheiden, haben Ihre profile als “privat” markiert, die Polar sagt, wird verhindert, dass der Dienst mit teilen, dass die Informationen an Drittanbieter-apps wie Facebook.
Die gemeinsame Untersuchung ergab, dass jemand könnte die Daten aus der Polar s Karte zu finden, die sensible militärische Standorte, sowie genügend Informationen, um einen Benutzer suchen den Namen und die Adresse. Benutzer-Aktivität wurde gezeichnet Erkunden, einschließlich der Tätigkeiten von Personal kämpfen ISIS im Irak. Aber im Gegensatz zu Strava, die gefunden wurde, einfach enthüllt, potentiell sensible Standort-Daten früher in diesem Jahr, die Reporter waren in der Lage, tiefer zu Graben, und suchen Sie die Namen und Adressen der Polar-Nutzer, einschließlich militärische Personal, das aus verschiedenen Militär-und Geheimdienste auf der ganzen Welt.
Mithilfe der Informationen, geschabt von der Karte, die Berichte waren in der Lage, herauszufinden, die Namen von 6,460 Benutzer, die arbeitete in der Nähe von sensiblen Standorten
De-Korrespondent erklärt, dass es wurde festgestellt, dass Polar Erkunden der Karte verfolgt, jedem Benutzer-Aktivität seit 2014, und dass durch die Verwendung dieser Informationen war es in der Lage zu lokalisieren 6,460 Nutzer, die den Dienst verwendet wird, in der Nähe von sensiblen Einrichtungen. Da jeder Benutzer identifiziert wurde mit der Aktivität, die Reporter waren in der Lage, Ihre Namen und die Stadt zu cross-Referenz-Informationen, um herauszufinden, eine home-Adresse.
Beunruhigender ist, dass De-Korrespondent stellt fest, dass Polar Flow hatten einen Fehler, der es Ihnen ermöglichte, Informationen zu erhalten, die vom Benutzer markiert hatte Ihr profile privat und, dass die API nicht setzen eine Obergrenze für die Anzahl der Anforderungen, die jemand machen könnte, so dass Sie ziehen, bis ein Benutzer das gesamte Trainings-Geschichte, die Sie sagen, “machte es viel einfacher, um zu bestimmen, Ihre Adresse Zuhause, wo die Menschen-workouts, oft beginnen und enden.” Bellingcat festgestellt, dass Sie in der Lage zu kratzen Polar-website nach Informationen zu bestimmten Orten, und sammelte eine beträchtliche Menge von Daten.
Die Firma hat nicht eine Kappe auf den API-requests, dh jemand, könnte man eine unglaubliche Menge an Daten
In Anbetracht der Berichte, Polar-in einer Erklärung am Freitag, entschuldigte sich für das versehen und es sei die Aussetzung der Entdecken Funktion in der Flow app, die erklärt hatte, dass es keine Verletzung der privaten Daten, und dass es “in der Analyse der besten Optionen aus, mit denen die Polar-Kunden weiterhin mit der Erkunden-Funktion und zusätzliche Maßnahmen zu erinnern, die Kunden zu vermeiden, öffentlich-sharing-GPS-Dateien von sensiblen Orten.”
Früher in diesem Jahr, das fitness-Plattform Strava für Schlagzeilen, als Forscher darauf hingewiesen, dass seine heat map ergaben sich die Standorte von militärischen Anlagen in Ländern wie der Türkei und Afghanistan, potenziell aussetzen der Aktivitäten und Routinen der Soldaten in entfernten Basen, die Sicherheit Forscher fanden heraus, dass die Datenschutz-features waren ziemlich schwach. Das Unternehmen leise Straffung der opt-out-Funktion für seine heat map kurz nach der Offenbarung, und sagte, es würde es neue Einschränkungen und aktualisieren Ihre Daten monatlich zu verhindern, dass die Anhäufung von Daten, die besorgt security-Experten. Dieser jüngste Vorfall ist ein weiterer in einer langen Reihe von Beispielen, wo Unternehmen nicht und legen strenge Anforderungen an die Sicherheit der Daten, die Sie sammeln, die potentiell ausgenutzt werden von schlechten Schauspielern.