Pela segunda vez este ano, um aplicativo de fitness é responsável por revelar os locais de pessoas que trabalham em bases militares, agências de inteligência e outros sites sensíveis, bem como identificar as casas desses usuários.
O aplicativo de fitness Polar Flow permite que os usuários compartilhem as localizações do GPS de onde estão explorando - também conhecido como exercício; isso é supostamente uma característica e não uma falha. No entanto, a API pode ser consultada para revelar as atividades de condicionamento físico dos usuários, suas localizações, suas residências, pois é comum que as pessoas liguem e, posteriormente, desativem o rastreamento ao iniciar e terminar um treinamento. Além disso, algumas investigações adicionais revelaram até nomes de usuários.
A Polar disponibiliza um mapa on-line para seus usuários e exibe todas as suas rotas e locais de exercício desde 2014. De acordo com uma investigação da Bellingcat e De Correspondent , esse mapa também pode ser usado para permitir que “qualquer pessoa” encontre os nomes e endereços de militares e de inteligência. funcionários da agência, bem como nomes e endereços de “pessoal em instalações de armazenamento nuclear, prisões de segurança máxima, aeroportos militares onde as armas nucleares são armazenadas e bases de drones”.
De Correspondent mostrou como a “busca simples” permitiu que os jornalistas “encontrassem 6.460 usuários que rastrearam suas atividades esportivas em ou perto de locais sensíveis” até 2014. “Destes usuários, quase 90% listam um nome e uma cidade em seu perfil página, o que torna a localização de seu endereço residencial muito mais fácil ”.
Bellingcat relatou:
Ao mostrar todas as sessões de um indivíduo combinadas em um único mapa, a Polar não está apenas revelando as taxas cardíacas, rotas, datas, hora, duração e ritmo dos exercícios realizados por indivíduos em locais militares, mas também revelando as mesmas informações. o que provavelmente são suas casas também. Rastrear todas essas informações é muito simples através do site: encontre uma base militar, selecione um exercício publicado lá para identificar o perfil anexado e veja onde mais essa pessoa se exercitou. Como as pessoas tendem a ligar / desligar seus rastreadores de fitness ao sair ou entrar em suas casas, eles inadvertidamente marcam suas casas no mapa. Os usuários costumam usar seus nomes completos em seus perfis, acompanhados por uma foto de perfil - mesmo que eles não tenham conectado seu perfil do Facebook à sua conta Polar.
A API do Explore da Polar permitiu o acesso aos dados, desde então, foi suspensa
Os jornalistas aproveitaram uma “supervisão do aplicativo Polar” para expor os nomes e endereços de usuários que optaram por deixar seu perfil como “privado”.
Bellingcat explicou que é como seus repórteres “encontraram os nomes e endereços de pessoal em agências de inteligência, incluindo a NSA e o Serviço Secreto nos EUA, o GCHQ e o MI6 no Reino Unido, o GRU e o SVR RF na Rússia, a DGSE na França. e o MIVD na Holanda. Encontramos nomes e endereços de funcionários em bases militares, incluindo a Baía de Guantánamo em Cuba, Erbil no Iraque, Gao no Mali e bases no Afeganistão, Arábia Saudita, Catar, Chade e Coréia do Sul ”.
A Polar também não conseguiu limitar a quantidade de informação que pode ser solicitada. Como não havia limite, os jornalistas “puderam acessar automaticamente todas as atividades em todo o mundo para os 6.460 usuários, o que facilitou muito a determinação do endereço residencial deles”. Teria sido igualmente fácil para serviços de inteligência estrangeiros ou serviços maliciosos. atores para raspar os mesmos dados.
Esta é a segunda vez este ano que o mapa de um aplicativo de fitness foi usado para expor informações pessoais confidenciais. A primeira vez envolveu o Global Heat Map da Strava, que mostrou os locais e movimentos de seus 27 milhões de usuários de aplicativos com dispositivos de fitness em todo o mundo. Em teoria, os dados foram “anonimizados”; na realidade, graças à pesquisa de Nathan Ruser , ele mostrou locais e padrões de atividade dentro e ao redor de bases militares, instalações secretas e rotas de patrulhamento militar.
Depois que a Polar foi notificada, a empresa publicou um comunicado dizendo que era “importante entender que a Polar não vazou nenhum dado, e não houve violação de dados privados. Actualmente, a grande maioria dos clientes da Polar mantêm os perfis privados predefinidos e as definições de dados das sessões privadas, e não são afectados de forma alguma por este caso. Embora a decisão de participar e compartilhar sessões de treinamento e dados de localização por GPS seja a escolha e a responsabilidade do cliente, estamos cientes de que locais potencialmente sensíveis estão aparecendo em dados públicos e decidimos suspender temporariamente a API do Explore. ”
A Polar planeja suspender sua API do Explore enquanto trabalha em direção ao objetivo de elevar “o nível de proteção de privacidade” e aumentar “a consciência de boas práticas pessoais quando se trata de compartilhar dados de localização GPS”.
Comentários
Postar um comentário