Безобидный обмен данными может привести к плачевным последствиям. Популярное фитнес-приложение и трекер физической активности Polar Flow определило месторасположение военного и государственного персонала, работающего на секретных объектах. Об этом сообщает Gizmodo.
Согласно докладу De Correspondent и Bellingcat, через Polar Flow можно найти информацию о тренировках и использовать ее для идентификации сотрудников, работающих на военных базах и в правительственных зданиях.
Технология включала доступ к API разработчика Polar. Через API можно не только изучить общедоступные данные, но и получить приватную информацию. API также не ограничивал количество запросов, поэтому возможно, что кто-то мог собрать данные о миллионах пользователей.
Используя этот фактически беспрепятственный доступ, стало возможным идентифицировать людей, работающих на таких секретных объектах, как военные базы. По информации De Correspondent, достаточно найти государственное или военное сооружение, затем поискать данные о тренировках в этой локации, а потом изучить другие тренировки пользователя. Скорее всего, человек тренировался в своем доме или рядом с ним.
Благодаря этим данным исследователи идентифицировали более 6400 пользователей, которые, как предполагается, работают на крайне важных объектах. Среди них – сотрудники Агентства национальной безопасности США, Белого дома, Секретной разведывательной службы Великобритании MI6, российского ГРУ. Эти данные также использовались для идентификации персонала на ядерных хранилищах, шахтах для запуска ракет, в тюрьмах и Гуантанамо.
В Polar признали проблему и заявили, что в ближайшее время ее решат. "Важно понимать, что Polar не обнародовал данные и не нарушал политику конфиденциальности. В настоящее время большинство пользователей Polar сохраняют настройки личных профилей и данных по умолчанию. Хотя решение об использовании принимают клиенты, мы знаем о существующей проблеме, поэтому временно приостанавливаем API Explore", — сообщили в Polar.
Это не первый случай, когда через фитнес-приложение можно получить конфиденциальную информацию о правительстве и вооруженных силах. Ранее в этом году раскритиковали Strava: карты компании, показывающие активность пользователей во всем мире, могут использоваться для идентификации военных баз.
