Materiaal ligt klaar om te gaan van 14 November 2002 in een globaal beeld van Ft. Bragg, North Carolina.Foto: Getty
In de laatste incident van schijnbaar onschuldige delen van gegevens leidt tot potentieel gevaarlijke blootstelling, de populaire fitness-app en de activiteit trackers Polar Flow is het openbaren van de locatie van het leger en de overheid personeel dat werkzaam is op gevoelige locaties, volgens ZDNet.
Het rapport citeert een onderzoek uitgevoerd door het nederlandse nieuws site van De Correspondent en Bellingcat, die ontdekte dat het mogelijk was te vinden workout informatie opgenomen via Polar Flow en gebruik het om potentieel identificeren van de namen van de medewerkers die werkzaam zijn bij de militaire bases en gebouwen van de overheid.
Per ZDNet, de techniek opgenomen toegang tot de developer API van Polar, de fins-gebaseerd bedrijf dat produceert Polar Flow. Via de API kan een persoon niet alleen de openbare gegevens die de gebruiker vrijwillig te delen, maar kan ook ophalen fitness tracking-informatie van gebruikers die hun profiel is ingesteld op privé. De API ook niet een limiet op het aantal aanvragen dat een persoon kon maken, dus was het problematisch kan zijn dat iemand zou kunnen schrapen informatie van de miljoenen gebruikers die vertrouwen op de Polar Flow voor het bijhouden van hun trainingen.
Met behulp van dat wezen van vrije toegang, werd het mogelijk om mensen te identificeren die werken op gevoelige locaties, zoals militaire bases. De Correspondent legde de techniek gewoon nodig zoek een bekende van de overheid of militaire installatie, het vinden van een werk dat werd bijgehouden, dan is het verkennen van de gebruiker andere trainingen. Odds zijn, de gebruiker heeft uitgewerkt, op of in de buurt van hun huis in het verleden.
Die paar gegevens konden de onderzoekers identificeren van meer dan 6400 gebruikers geacht worden te werken op gevoelige locaties. Volgens ZDNet, de onderzoekers gekoppeld medewerkers van de NSA, het Witte Huis, de Britse inlichtingendienst MI6, de russische GRU, en anderen. Die gegevens zijn ook gebruikt voor het identificeren van medewerkers van nucleaire opslagplaatsen, raket silo ‘ s, gevangenissen en locaties, zoals Guantanamo Bay.
Zodra een gebruiker wordt blootgesteld door de techniek ontdekt in het onderzoek, hun locaties uitgegroeid tot een veel meer interessante en potentieel onthullen. Bijvoorbeeld, verslaggevers op De Correspondent in staat waren om ter plaatse gebruikers geïdentificeerd als buitenlandse militaire-en inlichtingendiensten officieren uit te werken in de buurt van gevoelige regering locaties in de VS.
Polar erkende het probleem in een verklaring en zei dat de situatie wordt aangepakt, hoewel het gebagatelliseerd de potentiële ernst van de blootstelling van gegevens:
Het is belangrijk om te begrijpen dat het Polar heeft niet gelekt gegevens, en er is geen schending van de persoonlijke gegevens. Momenteel is de overgrote meerderheid van de Polar klanten onderhouden van de standaard private profielen en privé-sessies instellingen van gegevens, en niet op een andere manier beïnvloed door dit geval. Terwijl het besluit om opt-in en deel trainingen en GPS locatie gegevens is de keuze en de verantwoordelijkheid van de klant, wij zijn er van bewust dat potentieel gevoelige locaties zijn weergegeven in openbare gegevens, en hebben de keuze gemaakt om tijdelijk op te schorten voor de Explore-API.
Dit is niet de eerste keer dat een fitness-app heeft per ongeluk blootgesteld potentieel gevoelige informatie over de regering en het leger. Eerder dit jaar fitness tracking kaart Strava kwam onder vuur te liggen nadat het werd ontdekt dat de vennootschap heat maps, die laten zien dat de activiteiten van de gebruiker rond de wereld, kan worden gebruikt voor het identificeren van militaire bases, waaronder een aantal locaties die eerder zijn geheim.
[ZDNet]