Finska fitness företaget Polar har tillfälligt Utforska, sin globala verksamhet kartan efter ett par rapporter från De Korrespondent och Bellingcat (via ZDNet) påpekade brister i app sekretessinställningar som gjorde det lätt för någon att hitta platsen data för användare, ekar en liknande integritet händelsen med en annan fitness-app tidigare i år. Det är en oroväckande upptäckt en rapport som kunde använda den informationen för att hitta namn och adresser på de tusentals användare som dök upp för att arbeta för militären och underrättelsetjänsten.
Polar är en Klar företag som producerar en mängd olika smarta enheter, inklusive Polar Balans smart skala, M600 smartwatch, och M430 kör titta på, alla som är ansluta till företagets fitness-app, Polar Flöde. Företagets enheter arbetar tillsammans för att spela in sin vikt och aktivitet, som kan visas på en användares profil på nätet. Användare kan ha information som ingår i Utforska, men kan också välja att ha sina profiler som är märkta som privata, som Polar säger kommer att förhindra service med dela med dig av denna information till tredje part apps som Facebook.
Den gemensamma utredningen fann att någon skulle kunna använda data från Polar ‘ s karta för att hitta känsliga militära anläggningar, samt tillräckligt med information för att leta reda på en användares namn och adress. Användarens aktivitet ritas om att Utforska, inklusive den verksamhet som bedrivs av personal som kämpar ISIS i Irak. Men till skillnad från Strava, vilket visade sig helt enkelt avslöjade potentiellt känsligt läge data tidigare i år, reportrar kan gräva djupare och hitta namn och adresser på Polar användare, inklusive militär personal från olika militär och underrättelsetjänster runt om i världen.
Med hjälp av information som skrapas från kartan, rapporter kunde räkna ut namnen på 6,460 användare som arbetat nära känsliga platser
De Korrespondent förklarar att det finns att polars Utforska kartan håller reda på varje användares aktivitet sedan 2014, och att med hjälp av den informationen, det kunde lokalisera 6,460 användare som använt tjänsten nära känsliga anläggningar. Eftersom varje användare identifieras med aktivitet, reportrar kan använda deras namn och staden till cross-reference information för att räkna ut användarens hemadress.
Mer oroande, De Korrespondent konstaterar att Polar Flödet hade ett fel som gjorde det möjligt för dem att få information från en användare som hade märkt sina privata profiler och att API inte sätta ett tak på antalet ansökningar som någon annan skulle kunna göra, vilket möjliggör för dem att dra upp en användares hela träningspasset historia, som de säger “gjorde det mycket lättare att avgöra deras hemadress, där människors pass ofta börjar och slutar.” Bellingcat noteras att det kunde skrapa polars hemsida för mer information om specifika platser, och samlade ihop en stor mängd data.
Bolaget hade inte satt ett tak på API-förfrågningar, vilket innebär att någon kan få en otrolig mängd data
I ljuset av rapporterna, Polar i ett uttalande på fredagen, be om ursäkt för tillsynen och att det var avbryta Utforska funktionen i Flödet app, förklarade att det inte hade skett någon kränkning av personuppgifter, och att det är “att analysera de bästa alternativen som kommer att tillåta Polar kunder att fortsätta att använda Utforska funktionen samtidigt som ytterligare åtgärder för att påminna kunder för att undvika att offentligt dela GPS-filer av känsliga platser.”
Tidigare i år, fitness plattform Strava skapade rubriker när en forskare påpekade att dess värme karta avslöjade platser av militära anläggningar på platser som Turkiet och Afghanistan, kan exponera de aktiviteter och rutiner som soldater i avlägsna baser, medan säkerhet forskarna fann att dess säkerhetsfunktioner var ganska svag. Företaget lugnt strömlinjeformad opt-out-funktion för sitt heat map kort efter uppenbarelsen, och sade att det skulle lägga till nya begränsningar och uppdatera sina uppgifter varje månad för att förhindra ansamling av data som oroade säkerhetsexperter. Den senaste händelsen är ytterligare ett i en lång rad av exempel på där företag inte sätta stränga krav på säkerhet för de uppgifter som de samlar in, och som potentiellt kunde utnyttjas av dåliga skådespelare.