Фитнес-приложение Polar "выдало" секретных агентов по всему миру
Данные фитнес-трекеров Polar обнаружились в открытом доступе, рассекретив маршруты пробежек некоторых военных и разведчиков из разных стран. Журналисты De Correspondent и исследователи Bellingcat указали на уязвимость и рассказали о местонахождении некоторых непубличных служащих.
Утечка стала возможна из-за сервиса Polar Flow. Он позволяет отслеживать свою активность и делиться достижениями с другими участниками сообщества.
Проблема в том, что вся информация всех пользователей доступна на общей карте. Там можно выбрать «чувствительный» регион (например, военную базу), и получить доступ к аккаунтам всех, кто занимается спортом в этом месте. В некоторых аккаунтах есть настоящие имена пользователей, их аватары, а также рост, вес и маршруты пробежек, начиная с 2014 года. Место, где пробежки начинаются и заканчиваются, позволяет предположить, где живет этот человек.
Исследователи из Bellingcat нашли профиль высокопоставленного офицера ВВС США с настоящим именем, постоянным маршрутом через лес и возможным домашним адресом. Также они отследили нескольких пользователей, которые занимались сперва на тренировочных базах в США, а после — на Ближнем Востоке.
В общем списке Bellingcat есть агенты ФБР и Агентства национальной безопасности, специалисты по кибербезопасности, противоракетной обороне и разведке, сотрудники АЭС. Нашлись также предположительные американцы в «зеленой зоне» Багдада, российские солдаты в Крыму и военные у границы КНДР.
Журналисты нидерландского издания De Correspondent нашли «бегунов» на 125 военных базах, а также на хранилищах ядерного оружия, в спецслужбах, посольствах и атомных электростанциях. Даже приватные профили оказались защищены недостаточно хорошо, так что личности любителей спорта получилось установить.
У них получилось отследить перемещения предположительного работника Главного управления Генерального штаба России (ГРУ). Владелец аккаунта двигался вокруг здания штаб-квартиры ГРУ в Москве, приложение сохранило его предположительный домашний адрес. Еще один пользователь совершал пробежки рядом с диппредставительствами России в Эрбиле (Ирак), Карачи (Пакистан) и Кабуле (Афганистан).
Polar временно заморозила опцию Explore, которая сделала утечку возможной.