Как Strava: фитнес-гаджеты Polar по именам называют сотрудников секретных военных баз
Всего полгода назад выяснилось, что сервис для отслеживания активности спортсменов Strava слил местоположение секретных военных баз. Казалось бы, все сервисы, подверженные подобным утечкам, должны сразу были забеспокоиться о безопасности пользовательских данных. Но нет. Теперь под угрозой слива оказались клиенты финской компании Polar.
Что случилось?
Polar делает профессиональные гаджеты для спортсменов: фитнес-трекеры, спортивные часы с GPS, пульсометры и другие аксессуары.
В 2014 году компания запустила сервис Polar Flow. Это своего рода социальная сеть, где пользователи могут делиться своими достижениями с другими участниками сообщества.
При регистрации новой учетной записи Polar запрашивает имя, местоположение, рост, вес, дату рождения, пол и количество тренировок в неделю. Впоследствии все тренировки сохраняются отдельными метками на карте Polar Explore. Доступ к этим картам может получить вообще любой человек.
И вот тут у финов начинаются проблемы.
Оказывается, любой пользователь Polar Flow может просмотреть любую тренировку. Среди данных, показанных ему, будет имя тренировавшегося спортсмена. А также точный адрес, где пользователь синхронизирует свой гаджет с интернетом. В основном, это личные дома юзеров.
Первыми о возможной утечке узнала группа Bellingcat, проведя совместное расследование с голландским порталом De Correspondent и финским изданием Long Play.
Чем это страшно?
Команда, проводящая расследование, решила узнать, насколько сильной может быть предполагаемая утечка. Оказывается, можно легко узнать имена множества сотрудников секретных военных баз:
Всего за несколько щелчков мы увидели профиль высокопоставленного офицера авиабазы, где, предположительно, хранится ядерное оружие. Его дом, расположен не очень далеко от базы. Он бегает в ранние утренние часы воскресенья. Его любимый маршрут проходит через лес, хотя иногда он отклоняется от маршрута, начиная и заканчивая пробежку на автостоянке, находящейся чуть дальше леса. В профиле мы видим его имя.
По понятным причинам, команда, проводившая расследование, не называла имена военных. Помимо непутёвого высокопоставленного офицера удалось обнаружить личные данные других военных. Были обнаружены тренировки и профили с полными именами российских военных на базе в Крыму, сотрудников ГРУ, АНБ, ФБР, ЦРУ, NASA и военных ведомств Франции, Нидерландов, Северной Кореи и так далее.
У множества профилей стояли личные фотографии военных. Это подвергает их риску в тех странах, где им запрещено носить военную форму за пределами базы.
Так сами виноваты, что сливают эти данные в сеть
Множество профилей не обозначены как публичные, однако на карте Explore они отображаются. Переключаясь из режима «Публичный» в режим «Для фолловеров», приложение всё равно показывает имена, фото профиля и местоположение, указанное при регистрации. При этом, изменения уровня конфиденциальности будет отражаться только на новых тренировках. Старые так и останутся публичными.
Реакция
За две недели до публикации материала группа Bellingcat сообщила Polar о проблеме. За два дня до публикации Polar решила отказаться от публичного отслеживания тренировок и принесла извинения пользователям. В заявлении компания настаивает на том, что никаких утечек не было.
По данным Long Play, эта история может стать первым прецедентом утечки личных данных пользователей после вступления в силу GDPR, регулирующего процесс хранения и обработки личных данных европейских пользователей. Вряд ли европейский суд посчитает эту утечку малозначительной, поэтому Polar может ожидать штраф. Его размер может составить от 10 до 20 млн. евро или от 2 до 4% от глобального дохода компании в зависимости от решения европейского суда.