Nul
(Billede: ZDNet/leveret)
En populære fitness-app, der sporer aktivitet data om millioner af brugere har uforvarende afslørede steder af personale, der arbejder på militære baser og efterretningstjenester.
Den app, Polar Flow, bygget af dets eponymous selskab Polar, en finsk-baseret fitness tracking kæmpe med kontorer i New York, tillod alle at få adgang til en brugers fitness-aktiviteter over flere år-bare ved at ændre browserens web-adresse.
For de fleste brugere, der sætter deres aktivitet registreringer offentlige, at sende deres træning på Polar ‘ s såkaldte Udforske kort er en funktion, og ikke et spørgsmål om privatlivets fred. Men selv med profiler, der er indstillet til private, en brugers fitness aktivitet kan afsløre, hvor en person bor.
En udsat placering af alle, der arbejder i en offentlige eller militære installation, kan hurtigt blive en national sikkerhedsrisiko.
Det er anden gang i år en trænings-app, har skabt en del polemik, ved at afsløre de steder af personale på følsomme installationer. Strava ændret sin personlige indstillinger efter ordet spredte sig hurtigt, at fitness-trackers, der anvendes af militære personel, der var at udsætte klassificeret ruter mellem baser på slagmarken, hvilket gør det let at starte angreb. Meget af striden blev, fordi de virksomheder, der lægger vægt på beskyttelse af personlige oplysninger på brugeren, men mange er ikke klar over, at deres informationer er søgbare, endsige tilgængelige med nogen.
Selv om eksistensen af mange offentlige anlæg, der er almindeligt kendt, identiteten af de ansatte ikke var.
Men nu, en undersøgelse af hollandske nyhedsside De Korrespondent og Bellingcatfound, at Polar-Flow udsat deres fitness tracking data. Virksomheden udvikler API kunne være forkert forespørges for at hente fitness-aktiviteter, som hver løb og cykling session, på en bruger.
Mere fra De Korrespondent: Dette fitness-app kan man finde navne og adresser, til tusindvis af soldater og hemmelige agenter | Hvordan vi fandt navne og adresser på soldater og hemmelige agenter | Hvorfor vi har besluttet at offentliggøre vores resultater | Check dine apps
Med to par af koordinater faldet over alle følsomme offentlig placering eller facilitet, var det muligt at finde navnene på de medarbejdere, der sporer deres fitness-aktiviteter, der går så langt tilbage som i 2014.
De journalister, der er identificeret mere end 6,400 brugere menes at være træner på følsomme steder, herunder NSA, det Hvide Hus, MI6 i London, og Guantánamo fangelejren i Cuba, samt personale, der arbejder på udenlandske militære baser.
Navne på embedsmænd og agenter på udenlandske efterretningstjenester, ligesom GCHQ i Cheltenham, den franske DGSE i Paris, og den russiske GRU i Moskva, blev også fundet.
Personalet på nukleare faciliteter til opbevaring missil siloer, og fængsler blev også spottet.
De Korrespondent delt nogle af de data, der med ZDNet at undersøge.
Ikke alene var det muligt at se præcis, hvor en bruger havde udøvet, var det let at lokalisere præcis, hvor en bruger har levet, hvis de er startet eller stoppet deres trænings-og tracking, så snart de forlod deres hus.
Fordi der var ingen grænser for, hvor mange henvendelser de journalister kunne gøre, kombineret med let utallige bruger-ID numre, det var muligt for alle-herunder ondsindede aktører eller udenlandske efterretningstjenester — at skrabe fitness aktivitet data om millioner af brugere.
Men de fandt også, at de kan narre API til hentning af fitness tracking data på private profiler.
Bagram Airfield I Afghanistan. (Billede: De Korrespondent/leveret)
Britiske Secret Intelligence Service (MI6), London. (Billede: De Korrespondent/leveret)
I tæt befolkede områder, såsom det Hvide Hus, antallet af almindelige mennesker spore deres egnethed i nærheden er højere, hvilket bidrager til en masse uønsket støj i data, men isolerede militære lejre og regeringen baser fremstillet bedre resultater..
De Korrespondent forklaret i en supplerende beretning, hvor let det var at følge omkring en Polar brugeren, som menes at være en officer ved den hollandske stat efterretningstjeneste, i hele verden, og selv finde sin hjem adresse. Men, i nogle lande, såsom Holland, afslører en intelligence officer ‘ s identitet er ulovligt, journalister påpeget.
ZDNet var i stand til at opspore en person, der udøves i nærheden til at NSA ‘ s hovedkvarter i Ft. Meade. Brugeren senere startede sin motion tracking, som han forlod sit hus i nærheden, Virginia. Gennem offentlige registre, vi bekræftet hans navn, og hans rolle som øverste militære embedsmand.
Læs mere: Hvordan Strava er “anonyme” fitness tracking data spildt statshemmeligheder | Forskere fundet en måde at demaskere Strava brugere ” skjulte steder | Strava lektion: Andel fitness-data online? Tjek disse personlige indstillinger nu | Fit af Data: Hvis data og fitness overlapper hinanden
En anden person, der også menes at være en NSA staffer baseret på Ft. Meade, blev anset for at udøve tæt på Guantánamo-fangelejren.
Den hollandske journalister fandt også fitness tracking data af flere udenlandske militær-og efterretningsfolk i nærheden af følsomme installationer i USA.
Data kan opbygge et foruroligende billede af en persons liv, hvor de bor, hvor de går, og åbne op for muligheder for at finde ud af mere om, hvem de er og hvem de kender.
Men mens nogle ville kalde det uhyggeligt og foruroligende, andre ville kalde det spionage.
Joseph Lorenzo Hall, chief technologist på Center for Democracy & Technology, kommenterede eksponering.
“Der er nok en pointe i, at vores nyere historie eller fremtid fortid, som man ikke kan være en spion længere,” sagde han.
Efter en privat oplysning, Polar tog sit kort offline kort før offentliggørelsen.
I en erklæring sendt af Polar chief strategy officer Marco Suvilaakso, selskabet sagde, at det “for nylig erfaret, at offentlige beliggenhed data, der deles af kunder via Udforske funktion i Flow kunne give indsigt i potentielt følsomme steder.”
Selskabet nægtet en lækage eller en tilsidesættelse af sine systemer.
“I øjeblikket er størstedelen af Polar kunder med at opretholde den standard private profiler og private sessioner data, indstillinger og er ikke påvirket på nogen måde af denne sag,” sagde han. “Mens beslutningen om at vælge-og dele træning og GPS-data er valget og ansvaret for kunden, vi er klar over, at potentielt følsomme steder, der optræder i offentlige data, og har truffet beslutningen om at suspendere Udforske API.”
Vi spurgte Polar hvis denne eksponering af data, specielt afsløring af nogle hjem adresser på private profiler, udgjorde en overtrædelse af eu ‘ s nye lov om beskyttelse af data-kendt som GDPR.
“Ja, vi er GDPR kravene,” sagde Suvilaakso.
Polar ikke afsløre sin bruger tal, men De Korrespondent fundet mere end 30 millioner brugere-id ‘ er.
NSA ‘ s hovedkvarter i Fort Meade, MD. (Billede: De Korrespondent/leveret)
DGSE hovedkvarter i Paris. (Billede: De Korrespondent/leveret)
Guantanamo-basen. (Billede: De Korrespondent/leveret)
De Korrespondent kontaktet hollandske og finske myndigheder til at sikre, Polar ‘ s platform, mens ZDNet kontaktet flere AMERIKANSKE myndigheder om eksponering af data.
Vi kontaktede flere ministerier, herunder Kontor Direktør for National Intelligence, som fører tilsyn med efterretningstjenesten og dens organer. Talsmand Charles Carithers sagde torsdag ODNI var “klar over de potentielle virkninger” af udstyr for at indsamle og rapportere personlige og geografiske data.
“Brugen af personlige fitness og lignende enheder af enkeltpersoner, der er involveret i AMERIKANSKE Regering støtte fastsættes og instrueret af hvert agentur og afdelingen,” sagde han.
NSA talsmand Brynn Freeland sagde agency “er på plads og håndhæver politikker med hensyn til anvendelse af bærbare fitness udstyr i kontrollerede områder,” men kunne ikke sige, hvad disse politikker.
“Derudover har vi en løbende oplysningskampagne for vores arbejdsstyrke, der fokuserer på forholdet mellem teknologi, deres privatliv, og den operationelle sikkerhed,” sagde han.
CIA ‘ s talsmand Ryan Trapani afviste at kommentere, eller give sin vejledning om brug af personlige fitness-enheder, og det Hvide Hus ikke kommentere, da nået torsdag. En talsmand for det Nationale sikkerhedsråd heller ikke kommentere.
FBI gjorde ikke returnere en anmodning om kommentarer. En talsmand for Pentagon har ikke svaret på en anmodning om kommentar enten.
I tidligere redegørelser, den afdeling, der fører tilsyn med militær sagde, at det “tager sager som disse, meget alvorligt.” Tidligere vejledning viser militært personel er ikke tilladt at bruge fitness-trackers, der indeholder Wi-Fi-eller mobilnetværksbaseret kapaciteter, men det tillader Bluetooth og GPS-aktiverede enheder, der synkroniserer data til telefoner.
Polar er ikke den eneste trænings-og tracking-firma utilsigtet udsætter user data. Andre fitness apps haft lignende problemer, selvom journalister sagde, at de engagementer, var ikke i samme omfang som Polar.
Polar undskyldt for ulejligheden ved at suspendere kort.
“Men det er vores mål at hæve niveauet for beskyttelse af privatlivets fred og til at højne bevidstheden om god personlig praksis, når det kommer til deling af GPS-data,” siger virksomheden.
Har du et tip?
Du kan sende tips sikkert over Signal-og WhatsApp på 646-755-8849. Du kan også sende PGP e-mail med fingeraftryk: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Læs Mere
ZDNET UNDERSØGELSER
Forskere siger, at et alkoholmeter har fejl, der sår tvivl om utallige domme
Retssager truer infosec forskning — lige når vi har mest brug for det
NSA ‘ s Ragtime program mål Amerikanere, lækkede filer vis
Lækket TSA dokumenter afslører New York airport ‘ s bølge af sikkerhed bortfalder
Den AMERIKANSKE regering skubbet tech firmaer, til at udlevere kildekoden
Millioner af Verizon kunde registreringer, der vises i sikkerhed bortfalder
Mød den dunkle tech mæglere at levere dine data til NSA
Inde i den globale terror-overvågningsliste, der hemmeligt skygger millioner
198 millioner Amerikanere er ramt af ” største nogensinde fra vælgerne, registreringer lækage
Storbritannien har bestået den “mest ekstreme overvågning lov, der nogensinde er gået i et demokrati”
Microsoft siger, at “ingen kendte ransomware’ kører på Windows-10 S — så vi har forsøgt at hacke det
Lækket dokument, der afslører BRITISKE planer for større internet-overvågning
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0