Popularne aplikacje fitnessowe oferujące „tracking” osiągów aktywnego sportowo użytkownika mogą być z powodzeniem użyte w innych celach. W zależności od ustawień profilowych może się okazać, że ustalenie miejsca zamieszkania konkretnego użytkownika będzie bardzo łatwe.
W styczniu br. na podstawie nowej interaktywnej mapy generowanej przez aplikację Strava można było dowiedzieć się wielu ciekawych rzeczy. Aplikacja ujawniła gdzie najczęściej biegają posiadacze różnych sportowych gadżetów przeznaczonych do rejestrowania osiągów i lokalizacji, w tym także wojskowi. Podobnie stało się w przypadku aplikacji Polar Flow, której mapa aktywności ujawnia nawet więcej szczegółów niż na temat ofiary można było się dowiedzieć z aplikacji Strava: puls, miejsce treningów, czasy treningów.
Można nawet pokusić się o identyfikację konkretnych żołnierzy za pomocą namierzenia na mapie dowolnego obiektu wojskowego, wybrania z klastra aktywności konkretnego sportowca (albo po nazwie użytkownika albo po UID), a potem weryfikacji, gdzie jeszcze ten sportowiec trenuje. W ten sposób można namierzyć dom żołnierza-sportowca (analizując początki lub końce treningów). Jeśli ofiara nie dba o odpowiedni OPSEC i w polarowym profilu ustawi swoje prawdziwe imię i nazwisko lub faktyczne zdjęcie, to ustalenie jej innych kont w internecie stanie się dziecinnie łatwe.
Zdaniem dziennikarzy z Bellingcat możliwe jest w ten sposób ustalenie m.in. danych osobowych: żołnierzy rosyjskich, którzy stacjonują/stacjonowali na Krymie, żołnierzy służących w GuantanamoBay, ludzi pracujących w NSA i FBI, pracowników ambasad wraz z ich prywatnymi adresami.
Zaznaczyć należy, że aplikacje fitnessowe oferują opcje prywatności, które w domyślnej konfiguracji nie pozwalają na pozyskanie wiedzy o danym użytkowniku. Wystarczy jednak upublicznienie choćby jednego z treningów, by można było skorelować profil prywatny z informacjami o lokalizacjach, w których użytkownik trenował. Aplikacja Garmin Connect też pozwala na ustalanie miejsc zamieszkania sportowców, na mapie można lokalizować segmenty, a wewnątrz segmentu sprawdzać publiczną listę sportowców, którzy przebywali na tym terenie. Podobnie można dać się zdeanonimizować w Facebooku, Tinderze, Endomondo, Runkeeperze itp.
Komentarze